Политика оператора в отношении обработки персональных данных

Политика оператора в отношении обработки персональных данных, далее по тексту - «политика»

Общие положения

1. Настоящая политика разработана во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Понятия, используемые в настоящей политике используются в их значении, установленном действующим законодательством. Если закон не устанавливает конкретного определения, применяется общепринятое толкование термина.

3. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «СБ Проект» (далее - Оператор).

4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

5. Настоящая политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте(ах) Оператора.

6. Основные права Оператора определяются Законом о персональных данных и иными нормативно-правовыми актами, в том числе Оператор вправе:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии для этого оснований, указанных в Законе о персональных данных.

7. Основные обязанности Оператора определяются Законом о персональных данных и иными нормативно-правовыми актами, в том числе Оператор обязан:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в сроки установленные законом, а при отсутствии таких сроков в течение 10 рабочих дней с даты получения соответствующего запроса.
• обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

8. Основные права субъекта персональных данных определяются Законом о персональных данных и иными нормативно-правовыми актами, в том числе Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в порядке и сроки установленные действующим законодательством, а при отсутствии установленных законом порядка и сроков, в сроки и порядке, предусмотренные Оператором;
• требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
• обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

Цели сбора персональных данных

9. Обработка персональных данных ограничивается достижением конкретных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

10. Цели обработки персональных данных происходят из целей фактически осуществляемой Оператором деятельности, а также из целей деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

11. Настоящая политика определяет следующие ниже цели, в соответствии с которыми Оператор осуществляет обработку персональных данных:

• Деятельность по организации ярмарок, выставок, конференций, конгрессов, в том числе подготовка, проведение и обеспечение участия субъектов персональных данных в ярмарках, выставках, конференциях, конгрессах и иных бизнес-мероприятиях, организовываемых Оператором;
• Продвижение товаров, работ, услуг на рынке;
• Подготовка, заключение и исполнение гражданско-правового договора;
• Ведение кадрового и бухгалтерского учета;
• Подбор персонала (соискателей) на вакантные должности оператора;
• Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением;
• Формирование справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
• Обеспечение пропускного режима на территорию оператора;

Правовые основания обработки персональных данных

12. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В том числе но не исключительно:

• федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
• уставные документы оператора;
• договоры, заключаемые между оператором и субъектом персональных данных;
• согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

13. Содержание и объем обрабатываемых Оператором персональных данных соответствует заявленным в настоящей политике целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

14. В целях осуществления деятельности по организации ярмарок, выставок, конференций, конгрессов, в том числе подготовки, проведения и обеспечения участия субъектов персональных данных в ярмарках, выставках, конференциях, конгрессах и иных бизнес-мероприятиях, организовываемых Оператором. Оператор обрабатывает следующий объем и категории персональных данных:

• адрес электронной почты;
• данные документа, удостоверяющего личность;
• данные документа, удостоверяющего личность за пределами Российской Федерации;
• должность;
• номер телефона;
• профессия;
• сведения об образовании;
• сведения, собираемые посредством метрических программ;
• фамилия, имя, отчество;
• фото-видео изображение лица;

В отношении следующих субъектов персональных данных:

• Выгодоприобретатели по договорам
• Законные представители
• Клиенты
• Контрагенты
• Посетители сайта
• Представители контрагентов

15. В целях осуществления продвижения товаров, работ, услуг на рынке. Оператор обрабатывает следующий объем и категории персональных данных:

• адрес электронной почты;
• данные голоса человека;
• должность;
• номер телефона;
• пол;
• профессия;
• сведения об образовании;
• сведения, собираемые посредством метрических программ;
• фамилия, имя, отчество;
• фото-видео изображение лица;

В отношении следующих субъектов персональных данных:

• Выгодоприобретатели по договорам;
• Законные представители;
• Клиенты;
• Контрагенты;
• Посетители сайта;
• Представители контрагентов;
• Работники;
• Соискатели;
• Студенты;
• Учащиеся;

16. В целях осуществления подготовки, заключения и исполнения гражданско-правового договора Оператор обрабатывает следующий объем и категории персональных данных:

• адрес места жительства
• адрес регистрации
• адрес электронной почты
• год рождения
• гражданство
• данные водительского удостоверения
• данные документа, удостоверяющего личность
• данные документа, удостоверяющего личность за пределами Российской Федерации
• дата рождения
• доходы
• имущественное положение
• ИНН
• место рождения
• месяц рождения
• номер лицевого счета
• номер расчетного счета
• номер телефона
• пол
• профессия
• реквизиты банковской карты
• сведения об образовании
• семейное положение
• социальное положение
• фамилия, имя, отчество
• СНИЛС
• фото-видео изображение лица

В отношении следующих субъектов персональных данных:

• Клиенты;
• Контрагенты;
• Законные представители;
• Выгодоприобретатели по договорам;
• Представители контрагентов;

17. В целях ведения кадрового и бухгалтерского учета Оператор обрабатывает следующий объем и категории персональных данных:

• фамилия, имя, отчество;
• дата рождения;
• месяц рождения;
• год рождения;
• данные документа, удостоверяющего личность;
• данные документа, удостоверяющего личность за пределами Российской Федерации;
• ИНН;
• СНИЛС;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• адрес электронной почты;
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации) доходы;
• сведения об образовании;
• семейное положение;
• отношение к воинской обязанности, сведения о воинском учете;
• место рождения;
• гражданство;
• пол;
• данные документа, содержащиеся в свидетельстве о рождении;

В отношении следующих субъектов персональных данных:

• Работники
• Родственники работников
• Законные представители
• Соискатели
• Студенты
• Уволенные работники
• Учащиеся;

18. В целях подбора персонала (соискателей) на вакантные должности Оператора Оператор обрабатывает следующий объем и категории персональных данных:

• адрес места жительства
• адрес электронной почты
• фото-видео изображение лица
• год рождения
• гражданство
• данные голоса человека
• дата рождения
• должность
• доходы
• месяц рождения
• номер телефона
• пол
• профессия
• сведения об образовании
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
• сведения, собираемые посредством метрических программ
• семейное положение
• социальное положение
• фамилия, имя, отчество

В отношении следующих субъектов персональных данных:

• Посетители сайта
• Соискатели
• Учащиеся
• Студенты

19. В целях обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением Оператор обрабатывает следующий объем и категории персональных данных:

• адрес электронной почты
• год рождения
• данные голоса человека
• данные документа, удостоверяющего личность
• дата рождения
• данные документа, удостоверяющего личность за пределами Российской Федерации
• месяц рождения
• номер телефона
• пол
• профессия
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
• сведения об образовании
• фамилия, имя, отчество
• фото-видео изображение лица

В отношении следующих субъектов персональных данных:

• Выгодоприобретатели по договорам
• Соискатели
• Студенты
• Учащиеся

20. В целях формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора Оператор обрабатывает следующий объем и категории персональных данных:

• адрес места жительства
• адрес регистрации
• адрес электронной почты
• год рождения
• гражданство
• данные водительского удостоверения
• данные документа, содержащиеся в свидетельстве о рождении
• данные документа, удостоверяющего личность
• данные документа, удостоверяющего личность за пределами Российской Федерации
• дата рождения
• должность
• место рождения
• месяц рождения
• номер телефона
• пол
• сведения об образовании
• семейное положение
• фамилия, имя, отчество
• фото-видео изображение лица

В отношении следующих субъектов персональных данных:

• Выгодоприобретатели по договорам
• Законные представители
• Работники
• Родственники работников

21. В целях обеспечения пропускного режима на территорию оператора Оператор обрабатывает следующий объем и категории персональных данных:

• должность
• фамилия, имя, отчество

В отношении следующих субъектов персональных данных:

• Работники
• Соискатели
• Контрагенты
• Представители контрагентов
• Студенты
• Учащиеся

22. Специальные категории персональных данных не обрабатываются Оператором.

Порядок и условия обработки персональных данных

23. Оператор осуществляет обработку персональных данных путем совершения действия (операции) или совокупности действий (операций), таких как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

24. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

• не автоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по внутренней сети юридического лица и без таковой, а также с передачей и без передачи по сети Интернет;
• смешанная обработка персональных данных.

25. В рамках достижения целей обработки персональных данных, определенных настоящей политикой Оператор вправе поручить обработку персональных данных другому лицу (третьему лицу). Поручение обработки персональных данных другому лицу (третьему лицу) осуществляется с соблюдением условий и порядка такого поручения, установленных действующим законодательством.

26. Осуществление трансграничной передачи персональных данных Оператором не осуществляется.

27. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством.

28. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (конфиденциальность персональных данных).

29. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе но не исключительно:

• издание локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
• издание документов, определяющих политику оператора в отношении обработки персональных данных;
• назначение оператором, ответственного за организацию обработки персональных данных;
• ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных";

30. Оператор применяет необходимые средства обеспечения безопасности для защиты персональных данных, в том числе но не исключительно:

• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

31. Оператор использует при обработке персональных данных шифровальные (криптографические) средства (КС1, КриптоПро CSP, ООО "КРИПТО-ПРО", 385Б1А-001102-17433650).

32. Условием прекращения обработки персональных данных является прекращение деятельности Оператора.

33. Базы данных информации, содержащей персональные данные находятся на территории Российской Федерации.

34. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

35. Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ.

36. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

37. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, предоставление которых Оператором субъекту персональных данных предусмотрено действующим законодательством, предоставляются Оператором субъекту персональных данных или его представителю в сроки предусмотренные действующим законодательством. При отстутствии установления законом соответствующих сроков такие сведения предоставляются Оператором не позднее 10 рабочих дней с момента получения соответствующего запроса.

38. Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

39. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

40. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет запрашиваемые сведения о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

41. Запрос направляется на юридический адрес Оператора или по адресу электронной почты: Info@sbproect.ru.

42. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему в сроки установленные для ответа на запрос направляется мотивированный отказ.

43. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии положениями Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

44. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

45. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в сроки, установленные действующим законодательством, а при их отсутствии в срок непозднее 7 рабочих дней, и снимает блокирование персональных данных.

46. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

47. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

• В срок установленный законом (а при его отсутствии в течение 24 часов) уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• В срок установленный законом (а при его отсутствии в течение 72 часов) уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

48. Порядок уничтожения персональных данных Оператором. Условия и сроки уничтожения персональных данных Оператором:

• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель в срок установленный в законе, а при его отсутствии в течение 30 дней с момента достижения цели обработки или утраты необходимости достигать эту цель;
• достижение максимальных сроков хранения документов, содержащих персональные данные, в срок установленный в законе, а при его отсутствии в течение 30 дней с момента достижения максимального срока;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, в срок установленный в законе, а при его отсутствии в течение 7 дней с момента получения подтверждения;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется в, в срок установленный в законе, а при его отсутствии в течение 30 дней с момента получения запроса.

49. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Изменено: 19.11.2025