ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АО «ГРАСИС»

Настоящая Политика конфиденциальности персональных данных (далее — Политика конфиденциальности) действует в отношении всей информации, которую АО «Грасис» (далее — Оператор) может получить о Пользователях, в т. ч. путем использования Пользователями информационного ресурса Оператора, расположенному по адресу www.grasys.ru. Важнейшими условиями реализации Политики конфиденциальности является обеспечение необходимого и достаточного уровня безопасности информации, в т. ч. персональных данных.

Настоящая Политика конфиденциальности устанавливает условия и порядок сбора, хранения, передачи и иных видов обработки персональных данных в АО «Грасис», информацию о установленных и реализуемых требованиях защиты персональных данных. Все требования Политики конфиденциальности разработаны в соответствии с действующими нормами законодательства Российской Федерации, стремятся повысить уровень защиты конфиденциальной информации, в т. ч. персональных данных, направлены на совершенствование способов и методов контроля защиты персональных данных.

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

1. В настоящей Политике конфиденциальности используются следующие термины:

1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В тексте настоящей Политики конфиденциальности под оператором понимается в т. ч. АО «Грасис».

1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

1.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.¹

1.10. «Администрация сайта (далее — Администрация сайта)» — уполномоченные сотрудники на управления сайтом, действующие от имени АО «Грасис», которые организуют и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.11. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.12. «Пользователь сайта (далее — Пользователь)» — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.

1.13. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

1.14. Информационный ресурс Оператора — сайт с доменным наименованием www.grasys.ru.

1.15. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

1.16. Оператор информационного ресурса — АО «Грасис», владеющее информационным ресурсом www.grasys.ru и осуществляющее управление данным ресурсом, сбор и обработку персональных данных.

1.17. Субъект персональных данных — Пользователь, осуществляющий передачу своих персональных данных Оператору.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, детальный перечень которых определяется локальными актами АО «Грасис».

2.2. Все персональные данные, обрабатываемые АО «Грасис», являются строго охраняемыми, конфиденциальными сведениями.

2.3. Персональные данные обрабатываются Оператором в целях оформления трудовых, договорных отношений, налогового, кадрового, бухгалтерского учета, в целях исполнения обязательств Оператором в рамках заключенных договоров, проведения исследований, продвижения товаров/работ/услуг Оператора, клиентов/партнеров Оператора путем осуществления прямых контактов с помощью различных средств связи, в т. ч., но не ограничиваясь — электронная почта, телефон, телетайп, факс, а также в иных не противоречащих законодательству целях.²

3. ОСОБЫЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ИНФОРМАЦИОННОГО РЕСУРСА ОПЕРАТОРА

3.1. Использование Пользователем информационного ресурса Оператора означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

3.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

3.3. Настоящая Политика конфиденциальности применяется только к информационному ресурсу Оператора — сайту www.grasys.ru. Оператор не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.

3.4. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.

3.5. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения регистрационной формы на Сайте www.grasys.ru в разделах «Запрос на оборудование», «Запрос на сервисные услуги», «Запрос на обучение», «Запрос обратного звонка сервисной службы» и включают в себя следующую информацию:

• фамилию, имя, отчество Пользователя;
• контактный телефон Пользователя;
• адрес электронной почты (e-mail);
• название организации;
• способ обратной связи с Пользователем;
• продукция, заинтересовавшая Пользователя;
• программа обучения для Пользователя;
• требуемый вид работ;
• тип оборудования для произведения сервисных услуг;
• канал коммуникации.

3.6. Информационный ресурс Оператора защищает данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы («пиксель»):

• IP адрес;
• информация из cookies;
• информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы);
• время доступа;
• адрес страницы, на которой расположен рекламный блок;
• реферер (адрес предыдущей страницы).

Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации. Сайт осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем.

3.7. Любая иная персональная информация неоговоренная выше (история обращений, используемые браузеры и т. д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.

3.8. Пользователь дает свое согласие на использование Оператором информационного ресурса Персональных данных Пользователя в целях:

• предоставления Пользователю доступа к персонализированным ресурсам Сайта.
• установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и заявок от Пользователя.
• определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
• предоставления Пользователю обновлений продукции, специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта или от имени партнеров сайта.
• осуществления рекламной деятельности.
• предоставления доступа Пользователю на сайты или сервисы партнеров сайта с целью получения продуктов, обновлений и услуг.

4. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения технических мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим прав доступа к такой информации.

4.2. Специальные механизмы для защиты персональных данных настраиваются на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных должны изолироваться в целях недопущения воздействия, которое может иметь следствием сбои в их функционировании.

4.3. Оператор производит резервное копирование данных с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.

4.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и материальных носителей.

4.5. Оператор устанавливает перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ и обеспечивает раздельное хранение персональных данных и материальных носителей, обработка которых осуществляется в различных целях.

4.6. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.

4.7. Пользователь соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациям почтовой связи, операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на информационном ресурсе Оператора.

4.8. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

4.9. При утрате или разглашении персональных данных Оператор информирует Пользователя об утрате или разглашении персональных данных.

4.10. Оператор совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

4.11. Оператор персональных данных хранит персональные данные в течение 5 лет с даты их получения, по истечении установленного периода персональные данные подлежат уничтожению, за исключением случаев, когда предусмотрена обязанность Оператора в соответствии с законодательством Российской Федерации сохранять информацию о персональных данных.

5. РЕАЛИЗУЕМЫЕ МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор при обработке персональных данных:

• определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз, разрабатывает системы защиты персональных данных, обеспечивающие нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
• формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
• осуществляет установку средств защиты информации в соответствии с эксплуатационной и технической документацией;
• проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
• осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе;
• осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• проводит разбирательство по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.

5.2. Для разработки и осуществления конкретных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Оператором или уполномоченным лицом ответственным является подразделение информационных технологий Оператора. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором. Запросы Пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. АО «Грасис» как Оператор персональных данных вправе отстаивать свои интересы в суде, предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.), отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством, использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

6.2. Оператор обязан использовать полученную информацию исключительно для целей, указанных в настоящей Политике конфиденциальности, обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением случаев, когда это требуется законом, принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте, осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

6.3. Субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения, получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения, требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях, обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных, защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. ОТВЕТСТВЕННОСТЬ СТОРОН

7.1. Оператор несёт ответственность за ущерб, причиненный Субъекту персональных данных в связи с неправомерным использованием Оператором персональных данных Субъекта персональных данных в соответствии с законодательством Российской Федерации.

7.2. В случае утраты или разглашения персональных данных Оператор не несёт ответственности, если персональные данные:

• Стали публичным достоянием до их утраты или разглашения.
• Были получены от третьей стороны до момента её получения Оператором от Субъекта персональных данных.
• Были разглашены с согласия Субъекта персональных данных или по требованию органов государственной власти.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства по обработке и защите персональных данных.

8.2. Оператор вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.

8.3. Новая Политика конфиденциальности вступает в силу с момента ее размещения на информационном ресурсе Оператора, если иное не предусмотрено новой редакцией Политики конфиденциальности.

8.4. Настоящая Политика является разработанным документом АО «Грасис» и подлежит размещению на официальном информационном ресурсе www.grasys.ru/o-kompanii/

8.5. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных в компании АО «Грасис».

Обновлено «20» января 2020 г.

¹Понятия 1.1−1.9 приведены в соответствии с п. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

²Ст. 22 ФЗ № 152-ФЗ, ст. 85−90 ТК РФ