Настоящая Политика конфиденциальности персональных данных Акционерного общества «Грасис» (далее – АО «Грасис», Оператор) в области обработки персональных данных (далее – Политика конфиденциальности) разработана в соответствии с требованиями п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152 – ФЗ «О персональных данных» (далее – Федеральный закон) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Политика конфиденциальности действует в отношении всех персональных данных, которые Оператор может получить о Пользователях, в том числе путем использования Пользователями информационного ресурса Оператора, расположенного в информационно-телекоммуникационной сети «Интернет» по адресам www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru.
Политика конфиденциальности распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики конфиденциальности.
Во исполнение положений ч. 2 ст. 18.1 Федерального закона Политика конфиденциальности подлежит размещению в свободном доступе в информационно-телекоммуникационной сети «Интернет», а именно, на официальном сайте Оператора, по адресам www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru.
Настоящая Политика конфиденциальности устанавливает условия и порядок сбора, хранения, передачи и иных видов обработки персональных данных в АО «Грасис», информацию о установленных и реализуемых требованиях защиты персональных данных. Политика конфиденциальности разработана в соответствии с действующими нормами законодательства Российской Федерации, направлена на повышение уровня защиты конфиденциальной информации, в т. ч. персональных данных, направлена на совершенствование способов и методов контроля защиты персональных данных.
1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ
В настоящей Политике конфиденциальности используются следующие термины:
1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическом лицу (субъекту персональных данных).
1.2. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на 2 обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом.
1.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В рамках настоящей Политики конфиденциальности Оператором выступает АО «Грасис».
1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.6. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.7. Предоставление персональных данных – действия, направленные на раскрытие персональных лиц определенному лицу или определенному кругу лиц.
1.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.11. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств1.
1.12. Администрация сайта — уполномоченные сотрудники на управление сайтом, действующие от имени АО «Грасис», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.13. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование о недопущении их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.14. Пользователь сайта (далее — Пользователь) — лицо, имеющее доступ к сайту, посредством сети «Интернет» и использующее сайт.
1.15. Сookies — небольшой фрагмент данных, отправленный вебсервером и хранимый на компьютере Пользователя, который веб-клиент или веббраузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.16. Информационный ресурс Оператора — сайты с доменным наименованием www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru.
1.17. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
1.18. Оператор информационного ресурса — АО «Грасис», владеющее информационными ресурсами www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru и осуществляющее управление данными ресурсами, сбор и обработку персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Цели сбора персональных данных
2.1.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.2. Обработке подлежат только персональные данные, отвечающие целям их обработки.
2.1.3. Обработка персональных данных осуществляется Оператором в следующих целях:
-
обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
-
обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
-
продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем при помощи средств связи;
-
осуществление деятельности организации в соответствии с уставом Общества;
-
ведение кадрового делопроизводства;
-
содействие работникам в трудоустройстве, получении образования и продвижения по карьерной лестнице, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
-
формирование и передача в уполномоченные органы власти и иные организации отчетности по установленным формам; - осуществление гражданско-правовых отношений;
-
ведение бухгалтерского учета;
-
установление с субъектом персональных данных обратной связи, включая направление уведомлений, запросов, касающихся использования информационного ресурса Оператора, оказания услуг, обработку запросов и заявок;
-
определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества;
-
предоставления пользователям эффективной клиентской и технической поддержки при возникновении проблем, связанной с использованием сайта Оператора.
2.1.4. Обработка персональных данных осуществляется Оператором исключительно в целях обеспечения соблюдения законодательства Российской Федерации.
2.1.5. Настоящая Политика конфиденциальности применяется исключительно к информационным ресурсам Оператора – сайтам www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru. Оператор не контролирует и не несет ответственности за сайты третьих лиц, на которые субъект персональных данных может перейти по ссылкам, доступным на сайте Оператора.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 26.12.1995 № 208 – ФЗ «Об акционерных обществах»;
- Федеральный закон от 06.12.2011 № 402 – ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167 – ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Наряду с вышепоименованными нормативными правовыми актами, правовым основанием обработки персональных данных Оператором также являются:
- Устав АО «Грасис»;
- Договоры, заключаемые между Оператором и контрагентами, выступающими в последующем субъектами персональных данных;
- Трудовые договоры, заключаемые с работниками;
- Согласие субъектов персональных данных на обработку их персональных данных, предоставленное в том числе посредством заполнения форм «Запрос на оборудование», «Запрос на сервисные услуги», «Запрос на обучение», «Запрос обратного звонка сервисной службы», «Заказ оборудования», «Обратная связь», размещенных на официальных сайтах Оператора www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru.
4. ПРАВА И ОБЯЗАННОСТИ СТОРОН
4.1. Права и обязанности Оператора.
4.1.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральным законе. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных Оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения Оператором запретов и условий, предусмотренных ст. 10.1 Федерального закона;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных на территорию, на которой находится Оператора, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемые в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4.1.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу указанного органа необходимую информацию в течение 30 дней с даты получения такого запроса.
4.2. Права субъектов персональных данных:
4.2.1. Субъекты персональных данных имеют право:
- получать информацию, касающуюся обработки их персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом.
- требовать от Оператора уточнения их персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.2.2. Субъекты персональных данных обязаны предоставить информацию о персональных данных, поименованную в п. 5.2. Настоящей политики конфиденциальности, а также обновлять, дополнять предоставленные персональные данные в случае изменения таковых
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
- работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты Оператора (физические лица);
- представители / работники клиентов и контрагентов Оператора (юридических лиц).
5.2.1. Кандидаты для приема на работу к Оператору:
- Фамилия, имя, отчество;
- Пол;
- Гражданство;
- Дата и место рождения;
- Паспортные данные;
- Военный билет;
- Контактные данные;
- Сведения об образовании, опыте работы, квалификации;
- Иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
5.2.2. Работники (бывшие работники) Оператора:
- Фамилия, имя, отчество;
- Пол;
- Гражданство;
- Дата и место рождения;
- Изображение (фотография);
- Паспортные данные;
- Военный билет;
- Адрес регистрации по месту жительства;
- Адрес фактического проживания;
- Контактные данные;
- Индивидуальный номер налогоплательщика;
- Страховой номер индивидуального лицевого счета (СНИЛС);
- Сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- Семейное положение;
- Сведения о трудовой деятельности;
- Сведения о регистрации брака;
- Сведения о воинском учете;
- Сведения об инвалидности;
- Сведения об удержании алиментами;
- Сведения о доходе с предыдущего места работы;
- Иные персональные данные, представляемые работниками в соответствии с требованиями трудового законодательства.
- Фамилия, имя, отчество;
- Степень родства;
- Дата рождения;
- Иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- Фамилия, имя, отчество;
- Дата и место рождения;
- Паспортные данные;
- Адрес регистрации по месту жительства;
- Контактные данные;
- Замещаемая должность;
- Индивидуальный номер налогоплательщика;
- Номер расчетного счета;
- Иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
- Фамилия, имя, отчество;
- Паспортные данные;
- Контактные данные;
- Замещаемая должность;
- Иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
6.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
6.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
6.5. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
6.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом. Согласие на обработку персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. В отношении представленных данных субъектов сохраняется конфиденциальность таковых за исключением случаев добровольного предоставления субъектом указанных сведений для общего доступа неограниченному кругу лиц.
6.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службы, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- Определяет угрозы безопасности персональных данных при их обработке;
- Принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- Назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- Создает необходимые условия для работы с персональными данными;
- Организует учет документов, содержащих персональные данные;
- Хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- Организует обучение работников Оператора, осуществляющих обработку персональных данных.
6.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором.
6.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, поименованные в ч. 7 ст. 14 Федерального закона, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса указанных лиц. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таковых.
7.2. Требования к запросу на доступ к персональным данных. Вышепоименованный запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (реквизиты договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с Федеральным законом все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, Оператором направляется мотивированный отказ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.5. В случае выявление неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
7.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8. ОТВЕТСТВЕННОСТЬ СТОРОН
8.1. Оператор, не исполнивший свои обязательства, несет ответственность за убытки, понесенные Пользователем в связи с неправомерным использованием персональных данных в соответствии с законодательством Российской Федерации.
8.2. В случае утраты или разглашения конфиденциальной информации Администрация сайта не несет ответственности, если таковая: - стала публичным достоянием до ее утраты или разглашения; - была получена от третьих лиц до момента представления Администрации сайта; - была разглашена с согласия Пользователя.
9. РАЗРЕШЕНИЕ СПОРОВ
9.1. До обращения в суд с заявлением по спору, возникшим из отношений между Оператором и субъектом персональных данных, обязательным является предъявление субъектом персональных данных претензии (письменного предложения о добровольном урегулировании спора).
9.2. Получатель претензии в течение 30 календарных дней со дня получения претензии уведомляет заявителя в письменном виде о результатах рассмотрения таковой.
9.3. При недостижении соглашения спор будет передан на рассмотрение в суд в соответствии с действующим законодательством Российской Федерации.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящая Политика конфиденциальности подлежит изменению, дополнению в случае изменения законодательства Российской Федерации в области персональных данных без согласия Пользователя.
10.2. Новая Политика конфиденциальности вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.
10.3. Имеющиеся предложения и вопросы, связанные с настоящей Политикой конфиденциальности, следует сообщать на электронную почту info@grasys.ru.
10.4. Действующая Политика конфиденциальности размещена на официальных сайтах Оператора, размещенных по адресам www.grasys.ru, www.nitropower.ru, www.med-kislorod.ru, www.n2foreat.ru.
1Ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
