Polityka JSC „Consultant Plus” dotycząca przetwarzania danych osobowych

Dyrektor Generalny CJSC „Consultant Plus”

14 maja 2019 r.

POLITYKA CJSC „CONSULTANT PLUS” DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH

1. POSTANOWIENIA OGÓLNE

1.1. Niniejszy dokument (dalej - Polityka) określa politykę dotyczącą przetwarzania danych osobowych Zamkniętej Spółki Akcyjnej „Konsultant Plus” (dalej - Operator lub Spółka).

1.2. Niniejsza Polityka została opracowana zgodnie z wymogami ust. 2 ust. 1 art. 18.1 ustawy federalnej z 27.07.2006 N 152-FZ „O danych osobowych” (dalej - ustawa o danych osobowych).

1.3. Pojęcia zawarte w art. 3 ustawy o danych osobowych są używane w niniejszej Polityce w podobnym znaczeniu.

1.4. Niniejsza Polityka dotyczy wszystkich operacji wykonywanych przez Operatora na danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez ich wykorzystywania..

1.5. Podstawowe prawa i obowiązki Operatora.

1.5.1. Operator ma prawo:

• otrzymywać od podmiotu danych osobowych rzetelne informacje i / lub dokumenty zawierające dane osobowe;
• żądać od podmiotu danych osobowych terminowego wyjaśnienia podanych danych osobowych.

1.5.2. Operator jest zobowiązany:

• przetwarzać dane osobowe w sposób określony przez obowiązujące ustawodawstwo Federacji Rosyjskiej;
• rozpatruje wnioski podmiotu danych osobowych (jego przedstawiciela prawnego) o przetwarzanie danych osobowych i udziela uzasadnionych odpowiedzi;
• zapewnić podmiotowi danych osobowych (jego przedstawicielowi ustawowemu) możliwość swobodnego dostępu do jego danych osobowych;
• podjąć kroki w celu wyjaśnienia, zniszczenia danych osobowych osoby, której dane dotyczą, w związku z traktowaniem przez niego (jego przedstawiciela prawnego) zgodnych z prawem i uzasadnionych wymagań;
• organizują ochronę danych osobowych zgodnie z wymogami ustawodawstwa Federacji Rosyjskiej.

1.6. Podstawowe prawa i obowiązki podmiotów danych osobowych:

1.6.1. Osoby, których dane dotyczą, mają prawo do:

• uzyskania pełnej informacji o przetwarzanych przez Operatora danych osobowych;
• dostęp do ich danych osobowych, w tym prawo do otrzymania kopii wszelkich akt zawierających ich dane osobowe, z wyjątkiem przypadków przewidzianych przez prawo federalne;
• wyjaśnienia swoich danych osobowych, ich zablokowania lub zniszczenia w przypadkach, gdy dane osobowe są niekompletne, nieaktualne, niedokładne, nielegalnie pozyskane lub nie są niezbędne do wskazanego celu przetwarzania;
• cofnąć zgodę na przetwarzanie danych osobowych;
• do podejmowania środków przewidzianych prawem w celu ochrony ich praw;
• do wykonywania innych praw przewidzianych przez ustawodawstwo Federacji Rosyjskiej.

1.6.2. Osoby, których dane dotyczą, są zobowiązane do:

• przekazywać Operatorowi tylko rzetelne dane o sobie;
• dostarczyć dokumenty zawierające dane osobowe w zakresie niezbędnym do celów przetwarzania;
• poinformować Operatora o wyjaśnieniu (aktualizacji, zmianie) jego danych osobowych.

1.6.3. Osoby, które przekazały Operatorowi nieprawdziwe informacje o sobie lub informacje o innym przedmiocie danych osobowych bez zgody tego ostatniego, ponoszą odpowiedzialność zgodnie z ustawodawstwem Federacji Rosyjskiej.

2. ILOŚĆ I KATEGORIE PRZETWARZANYCH DANYCH OSOBOWYCH, KATEGORIE PODMIOTÓW DANYCH OSOBOWYCH

2.1. Operator może przetwarzać dane osobowe następujących osób, których dane dotyczą:

• Pracownicy firmy, byli pracownicy, kandydaci do pracy, a także krewni pracowników;
• klienci i kontrahenci Spółki (osoby fizyczne);
• przedstawiciele / pracownicy klientów i kontrahentów Spółki (osoby prawne);
• osoby odwiedzające witrynę (y) Firmy (zwane dalej Witryną i Witrynami).

2.2. Dane osobowe przetwarzane przez Operatora obejmują:

• nazwisko, imię, patronimika podmiotu danych osobowych;
• miejsce zamieszkania (region / miasto);
• specjalność / obszar zainteresowań zawodowych;
• Numer telefonu;
• adres e-mail (e-mail);
• historia żądań i wyświetleń Witryny i jej usług (dla odwiedzających witrynę);
• inne informacje (powyższa lista może być skrócona lub rozszerzona w zależności od konkretnego przypadku i celów przetwarzania).

2.3. Operator zapewnia, że ​​treść i objętość przetwarzanych danych osobowych odpowiada określonym celom przetwarzania oraz w razie potrzeby podejmuje działania w celu wyeliminowania ich nadmiarowości w stosunku do określonych celów przetwarzania.

2.4. Operator przetwarza biometryczne dane osobowe za pisemną zgodą odpowiednich podmiotów danych osobowych, a także w innych przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej.

2.5. Operator nie przetwarza szczególnych kategorii danych osobowych dotyczących rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, życia intymnego.

2.6. Operator nie dokonuje transgranicznego przekazywania danych osobowych.

3. CEL ZBIERANIA DANYCH OSOBOWYCH

3.1. Dane osobowe są przetwarzane przez Operatora w następujących celach:

• zawieranie jakichkolwiek umów z podmiotami danych osobowych i ich dalsze wykonywanie;
• prowadzenie przez Operatora promocji, ankiet, wywiadów, testów i badań w Witrynach;
• ochrona podmiotów danych osobowych przed fałszywymi referencyjnymi systemami prawnymi ConsultantPlus;
• świadczenie usług i usług Spółki podmiotom danych osobowych, a także informacje o rozwoju nowych produktów i usług Spółki, w tym o charakterze reklamowym;
• informacje zwrotne od podmiotów, których dane dotyczą, w tym przetwarzanie ich żądań i odwołań, informowanie o pracy Serwisu (Serwisów);
• kontrola i poprawa jakości usług i usług Spółki, w tym oferowanych w Witrynie (Witrynach);
• prowadzenie pracy kadrowej i organizowanie księgowości pracowników Spółki, regulowanie stosunków pracy i innych bezpośrednio z nimi związanych;
• pozyskiwanie i selekcja kandydatów do pracy w Spółce;
• tworzenie raportów statystycznych;
• prowadzenie działalności gospodarczej;
• realizacja innych funkcji, uprawnień i obowiązków powierzonych Operatorowi przez ustawodawstwo Federacji Rosyjskiej.

4. PODSTAWA PRAWNA PRZETWARZANIA DANYCH OSOBOWYCH

4.1. Podstawy prawne przetwarzania danych osobowych przez Operatora to:

• Konstytucja Federacji Rosyjskiej;
• Kodeks pracy Federacji Rosyjskiej;
• Kodeks cywilny Federacji Rosyjskiej;
• Ustawa federalna z dnia 27 lipca 2006 r. N 149-FZ „O informacjach, technologiach informacyjnych i ochronie informacji”;
• Ustawa RF z dnia 27 grudnia 1991 r. N 2124-1 „O środkach masowego przekazu”;
• Ustawa federalna z dnia 26 grudnia 2008 r. N 294-FZ „O ochronie praw osób prawnych i indywidualnych przedsiębiorców w sprawowaniu kontroli państwowej (nadzoru) i kontroli gminnej”;
• Dekret Prezydenta Federacji Rosyjskiej z dnia 6 marca 1997 r. N 188 „O zatwierdzeniu listy informacji poufnych”;
• Dekret Rządu Federacji Rosyjskiej z dnia 6 lipca 2008 r. N 512 „O zatwierdzeniu wymagań dla materialnych nośników biometrycznych danych osobowych i technologii ich przechowywania poza systemami informacyjnymi danych osobowych”;
• Uchwała Rządu Federacji Rosyjskiej z dnia 15 września 2008 r. N 687 „W sprawie zatwierdzenia rozporządzenia w sprawie specyfiki przetwarzania danych osobowych bez użycia narzędzi automatyzacji”;
• Rozporządzenie Rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. N 1119 „O zatwierdzeniu wymagań w zakresie ochrony danych osobowych podczas ich przetwarzania w systemach informacji osobowych”;
• Zarządzenie Roskomnadzor z dnia 5 września 2013 r. N 996 „O zatwierdzeniu wymagań i metod anonimizacji danych osobowych”;
• Zarządzenie FSTEC Rosji z dnia 18 lutego 2013 r. N 21 „O zatwierdzeniu składu i treści środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informacji osobowych”;
• dokumenty statutowe Operatora;
• umowy zawierane pomiędzy Operatorem a osobami, których dane dotyczą;
• zgoda osób, których dane dotyczą, na przetwarzanie danych osobowych;
• inne podstawy, gdy zgoda na przetwarzanie danych osobowych nie jest wymagana przepisami prawa.

5. PROCEDURA I ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

5.1. Przetwarzanie danych osobowych przez Operatora odbywa się w następujący sposób:

• niezautomatyzowane przetwarzanie danych osobowych;
• zautomatyzowane przetwarzanie danych osobowych z lub bez przesyłania informacji otrzymanych za pośrednictwem sieci informatycznych i telekomunikacyjnych;
• mieszane przetwarzanie danych osobowych.

5.2. Lista czynności wykonywanych przez Operatora na danych osobowych: gromadzenie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie, a także realizacja wszelkich innych działań zgodnie z obowiązującym Ustawodawstwo RF.

5.3. Przetwarzanie danych osobowych dokonywane jest przez Operatora za zgodą podmiotu danych osobowych (dalej - Zgoda), z wyjątkiem przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej, kiedy przetwarzanie danych osobowych może odbywać się bez takiej zgody.

5.4. Podmiot danych osobowych decyduje o podaniu swoich danych osobowych i wyraża zgodę dobrowolnie, z własnej woli i w swoim interesie.

5.5. Zgoda wyrażana jest w dowolnej formie umożliwiającej potwierdzenie faktu jej otrzymania. W przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej Zgoda wyrażana jest na piśmie.

5.6. Warunkiem zaprzestania przetwarzania danych osobowych może być osiągnięcie celów przetwarzania danych osobowych, wygaśnięcie Zgody lub cofnięcie Zgody przez podmiot danych osobowych, a także stwierdzenie nielegalnego przetwarzania danych osobowych..

5.7. Zgoda może zostać cofnięta poprzez pisemne zawiadomienie przesłane Spółce listem poleconym.

5.8. W celu realizacji celów przetwarzania Operator ma prawo przekazywać dane osobowe osób odwiedzających Serwisy do regionalnych centrów informacyjnych Sieci ConsultantPlus, których wykaz znajduje się pod adresem: http://www.consultant.ru/about/company/structure/ric/.

5.9. Operator przetwarzając dane osobowe podejmuje lub zapewnia podjęcie niezbędnych środków prawnych, organizacyjnych i technicznych w celu ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem danych osobowych, a także innymi działaniami niezgodnymi z prawem w związku z dane osobiste.

5.10. Przechowywanie danych osobowych odbywa się w formie umożliwiającej ustalenie przedmiotu danych osobowych przez okres nie dłuższy, niż wymaga tego cel przetwarzania danych osobowych, z wyjątkiem przypadków, gdy okres przechowywania danych osobowych określa prawo federalne, umowa, której stroną, beneficjentem lub poręczycielem jest osoba, której dane dotyczą.

5.11. Operator przechowując dane osobowe wykorzystuje bazy danych zlokalizowane na terytorium Federacji Rosyjskiej.

6. AKTUALIZACJA, POPRAWIANIE, USUWANIE I NISZCZENIE DANYCH OSOBOWYCH, ODPOWIEDZI NA WNIOSKI PODMIOTÓW DANYCH OSOBOWYCH O UDZIELENIE DOSTĘPU DO DANYCH OSOBOWYCH

6.1. W przypadku potwierdzenia faktu nieścisłości danych osobowych lub niezgodności z prawem ich przetwarzania, dane osobowe muszą zostać zaktualizowane przez Operatora lub odpowiednio zaprzestane ich przetwarzanie.

6.2. Fakt nieścisłości danych osobowych lub niezgodność z prawem ich przetwarzania może stwierdzić osoba, której dane dotyczą, lub właściwe organy państwowe Federacji Rosyjskiej.

6.3. Na pisemne żądanie podmiotu danych osobowych lub jego przedstawiciela Operator zobowiązany jest udzielić informacji o przetwarzaniu danych osobowych wskazanego podmiotu. Żądanie musi zawierać numer głównego dokumentu potwierdzającego tożsamość podmiotu danych osobowych i jego przedstawiciela, informację o dacie wydania określonego dokumentu i organu wydającego, informację potwierdzającą udział podmiotu danych osobowych w relacjach z Operatorem (numer umowy, data zawarcia umowy, umowne ustne oznaczenie oraz (lub) inne informacje) lub informacje w inny sposób potwierdzające fakt przetwarzania danych osobowych przez Operatora, podpis podmiotu danych osobowych lub jego przedstawiciela. Żądanie może zostać przesłane w formie dokumentu elektronicznego i podpisane podpisem elektronicznym zgodnie z ustawodawstwem Federacji Rosyjskiej.

6.4. Jeżeli żądanie podmiotu danych osobowych nie zawiera wszystkich niezbędnych informacji lub podmiot nie ma prawa dostępu do żądanych informacji, wówczas kierowana jest do niego uzasadniona odmowa.

6.5. W sposób przewidziany w pkt.6.3, podmiot danych osobowych ma prawo żądać od Operatora wyjaśnienia swoich danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, niedokładne, pozyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania, a także podjąć kroki prawne w celu ochrony ich praw.

6.6. Po osiągnięciu celów przetwarzania danych osobowych, a także w przypadku cofnięcia Zgody przez podmiot danych osobowych, dane osobowe podlegają zniszczeniu, jeżeli:

• Operatorowi nie przysługuje prawo do przetwarzania bez zgody podmiotu danych osobowych;
• inaczej nie wynika z umowy, której stroną, beneficjentem lub poręczycielem są dane osobowe;
• inaczej nie przewiduje inna umowa pomiędzy Operatorem a podmiotem danych osobowych.

7. POSTANOWIENIA KOŃCOWE

7.1. Wszelkie relacje dotyczące przetwarzania danych osobowych, które nie są odzwierciedlone w niniejszej Polityce, podlegają przepisom ustawodawstwa Federacji Rosyjskiej.

Polityka przetwarzania danych osobowych

1. Postanowienia ogólne

1.1. Polityka przetwarzania danych osobowych w PJSC Gazprom (dalej Polityka) określa podstawowe zasady, cele, warunki i sposoby przetwarzania danych osobowych, wykazy podmiotów i danych osobowych przetwarzanych w PJSC Gazprom, funkcje PJSC Gazprom przy przetwarzaniu danych osobowych, prawa podmiotów danych osobowych, a także wymogi dotyczące ochrony danych osobowych realizowane w PJSC Gazprom.

1.2. Polityka jest opracowywana z uwzględnieniem wymagań Konstytucji Federacji Rosyjskiej, aktów ustawodawczych i innych regulacyjnych aktów prawnych Federacji Rosyjskiej w zakresie danych osobowych.

1.3. Zapisy Polityki są podstawą do opracowania lokalnych przepisów regulujących przetwarzanie danych osobowych pracowników PJSC Gazprom oraz innych podmiotów danych osobowych w PJSC Gazprom.

1.4. Polityka jest podstawą do opracowania przez spółki zależne i organizacje PJSC Gazprom przepisów lokalnych określających politykę przetwarzania danych osobowych tych organizacji.

2. Ustawodawcze i inne regulacyjne akty prawne Federacji Rosyjskiej, zgodnie z którymi ustalana jest Polityka przetwarzania danych osobowych w PJSC Gazprom

2.1. Polityka przetwarzania danych osobowych w PJSC Gazprom jest określana zgodnie z następującymi regulacyjnymi aktami prawnymi:

• Kodeks pracy Federacji Rosyjskiej;
• Ustawa federalna z dnia 27 lipca 2006 r. Nr 152-FZ „O danych osobowych”;
• Dekret Prezydenta Federacji Rosyjskiej z dnia 6 marca 1997 r. Nr 188 „O zatwierdzeniu wykazu informacji poufnych”;
• Uchwała Rządu Federacji Rosyjskiej z dnia 15 września 2008 r. Nr 687 „W sprawie zatwierdzenia rozporządzenia w sprawie specyfiki przetwarzania danych osobowych bez użycia narzędzi automatyzacji”;
• Rozporządzenie Rządu Federacji Rosyjskiej z dnia 6 lipca 2008 r. Nr 512 „O zatwierdzeniu wymagań dla materialnych nośników biometrycznych danych osobowych i technologii ich przechowywania poza systemami informacyjnymi danych osobowych”;
• Uchwała Rządu Federacji Rosyjskiej z dnia 1 listopada 2012 r. Nr 1119 „O zatwierdzeniu wymagań w zakresie ochrony danych osobowych przy ich przetwarzaniu w systemach informatycznych”;
• Zarządzenie FSTEC Rosji nr 55, FSB Rosji nr 86, Ministerstwo Technologii Informacyjnych i Komunikacji Rosji nr 20 z dnia 13 lutego 2008 r. „O zatwierdzeniu Procedury klasyfikacji systemów informatycznych danych osobowych”;
• Zarządzenie FSTEC Rosji z dnia 18 lutego 2013 r. Nr 21 „O zatwierdzeniu składu i treści środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych”;
• Zarządzenie Roskomnadzor z dnia 5 września 2013 r. Nr 996 „O zatwierdzeniu wymagań i metod depersonalizacji danych osobowych”;
• inne regulacyjne akty prawne Federacji Rosyjskiej oraz dokumenty regulacyjne uprawnionych organów państwowych.

2.2. W celu realizacji zapisów Polityki PJSC Gazprom opracowuje odpowiednie przepisy lokalne i inne dokumenty, w tym:

• regulamin przetwarzania danych osobowych w PJSC Gazprom;
• przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych PJSC Gazprom, jej spółek zależnych i organizacji;
• wykaz stanowisk strukturalnych działów administracji PJSC Gazprom, jej oddziałów i przedstawicielstw, po zastąpieniu których następuje przetwarzanie danych osobowych;
• regulamin przetwarzania danych osobowych jednostek strukturalnych administracji PJSC Gazprom, jej oddziałów i przedstawicielstw;
• inne lokalne przepisy i dokumenty regulujące przetwarzanie danych osobowych w PJSC Gazprom.

3. Podstawowe pojęcia i definicje stosowane w lokalnych przepisach PJSC Gazprom regulujących przetwarzanie danych osobowych

Dane osobowe - wszelkie informacje dotyczące bezpośrednio lub pośrednio konkretnej lub możliwej do zidentyfikowania osoby (osoby, której dane dotyczą).

Informacje - informacje (komunikaty, dane), niezależnie od formy ich prezentacji.

Operator - organ państwowy, organ komunalny, osoba prawna lub osoba fizyczna samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) prowadzącymi przetwarzanie danych osobowych, a także określającymi cele przetwarzania danych osobowych, skład przetwarzanych danych, wykonywane czynności (operacje) z danymi osobowymi.

Przetwarzanie danych osobowych - dowolna czynność (operacja) lub zbiór czynności (operacji) wykonywanych z wykorzystaniem narzędzi automatyzacji lub bez wykorzystania tych narzędzi z danymi osobowymi, w tym gromadzenie, utrwalanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), ekstrakcja, wykorzystanie, przekazywanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.

Zautomatyzowane przetwarzanie danych osobowych - przetwarzanie danych osobowych z wykorzystaniem technologii komputerowej.

Podanie danych osobowych - działania mające na celu udostępnienie danych osobowych określonej osobie lub określonemu kręgowi osób.

Rozpowszechnianie danych osobowych - działania mające na celu udostępnienie danych osobowych nieokreślonemu kręgu osób.

Transgraniczne przekazywanie danych osobowych - przekazanie danych osobowych na terytorium państwa obcego do organu państwa obcego, zagranicznej osoby fizycznej lub zagranicznej osoby prawnej.

Blokowanie danych osobowych - czasowe zaprzestanie przetwarzania danych osobowych (z wyjątkiem przypadków, gdy przetwarzanie jest niezbędne do wyjaśnienia danych osobowych).

Niszczenie danych osobowych - działania, w wyniku których niemożliwe staje się przywrócenie treści danych osobowych w systemie informacji osobowych i (lub) w wyniku których niszczone są materialne nośniki danych osobowych.

Depersonalizacja danych osobowych - działania, w wyniku których ustalenie prawa własności danych osobowych do określonego podmiotu danych osobowych bez wykorzystania dodatkowych informacji staje się niemożliwe.

System informacyjny danych osobowych - zbiór danych osobowych zawartych w bazach danych i zapewniający ich przetwarzanie w zakresie technologii informatycznych i środków technicznych.

4. Zasady i cele przetwarzania danych osobowych

4.1. PJSC Gazprom, będąc operatorem danych osobowych, przetwarza dane osobowe pracowników PJSC Gazprom oraz innych podmiotów danych osobowych, które nie pozostają w stosunkach pracy z PJSC Gazprom.

4.2. Przetwarzanie danych osobowych w PJSC Gazprom uwzględnia konieczność zapewnienia ochrony praw i wolności pracowników PJSC Gazprom oraz innych podmiotów danych osobowych, w tym ochrony prawa do prywatności, tajemnicy osobistej i rodzinnej, na następujących zasadach:

• przetwarzanie danych osobowych jest prowadzone przez PJSC Gazprom na podstawie prawnej i rzetelnej;
• przetwarzanie danych osobowych jest ograniczone do realizacji określonych, z góry określonych i prawnych celów;
• niedopuszczalne jest przetwarzanie danych osobowych niezgodne z celami zbierania danych osobowych;
• niedopuszczalne jest łączenie baz danych zawierających dane osobowe, których przetwarzanie odbywa się w celach niezgodnych ze sobą;
• przetwarzaniu podlegają wyłącznie dane osobowe, które spełniają cele ich przetwarzania;
• treść i ilość przetwarzanych danych osobowych odpowiada podanym celom przetwarzania. Niedopuszczalna jest redundancja przetwarzanych danych osobowych w stosunku do wskazanych celów ich przetwarzania;
• przy przetwarzaniu danych osobowych zapewnia się prawidłowość danych osobowych, ich wystarczalność oraz, w razie potrzeby, przydatność do celów przetwarzania danych osobowych. PJSC Gazprom podejmuje niezbędne środki lub zapewnia, że ​​są one podejmowane w celu usunięcia lub aktualizacji niekompletnych lub niedokładnych danych osobowych;
• przechowywanie danych osobowych odbywa się w formie umożliwiającej określenie przedmiotu danych osobowych, nie dłużej niż wymaga tego cel przetwarzania danych osobowych, jeżeli okres przechowywania danych osobowych nie jest określony przez prawo federalne, umowa, której stroną, beneficjentem lub poręczycielem jest podmiot danych osobowych;
• przetwarzane dane osobowe są niszczone lub zdepersonalizowane po osiągnięciu celów przetwarzania lub w przypadku utraty potrzeby osiągnięcia tych celów, chyba że prawo federalne stanowi inaczej.

4.3. Dane osobowe przetwarzane są przez PJSC Gazprom w celu:

• zapewnienie zgodności z Konstytucją Federacji Rosyjskiej, aktami prawnymi i innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej, przepisami lokalnymi PJSC Gazprom;
• wykonywanie funkcji, uprawnień i obowiązków nałożonych na PJSC Gazprom przez ustawodawstwo Federacji Rosyjskiej, w tym przekazywanie danych osobowych organom państwowym, Funduszowi Emerytalnemu Federacji Rosyjskiej, Funduszowi Ubezpieczeń Społecznych Federacji Rosyjskiej, Federalnej Kasy Obowiązkowego Ubezpieczenia Medycznego, oraz także innym organom państwowym;
• regulacja stosunków pracy z pracownikami PJSC Gazprom (pomoc w zatrudnieniu, szkoleniach i awansach, bezpieczeństwo osobiste, kontrola ilości i jakości wykonywanych prac, zapewnienie bezpieczeństwa mienia);
• zapewnienie pracownikom PJSC Gazprom i członkom ich rodzin dodatkowych gwarancji i odszkodowań, w tym niepaństwowych świadczeń emerytalnych, dobrowolnego ubezpieczenia medycznego, opieki medycznej i innych rodzajów zabezpieczenia społecznego;
• ochrona życia, zdrowia lub innych żywotnych interesów osób, których dane dotyczą;
• przygotowanie, zawieranie, wykonywanie i rozwiązywanie umów z kontrahentami;
• zapewnienie trybów dostępu i wewnątrz obiektów w obiektach PJSC Gazprom;
• opracowywanie materiałów referencyjnych do wewnętrznego wsparcia informacyjnego działalności PJSC Gazprom, jej oddziałów i przedstawicielstw, a także spółek zależnych i organizacji PJSC Gazprom;
• wykonywanie czynności sądowych, aktów innych organów lub urzędników podlegających wykonaniu zgodnie z ustawodawstwem Federacji Rosyjskiej dotyczącym postępowania egzekucyjnego;
• realizacja praw i prawnie uzasadnionych interesów PJSC Gazprom w ramach działań przewidzianych w Karcie i innych przepisach lokalnych PJSC Gazprom lub osób trzecich lub osiąganie ważnych społecznie celów;
• do innych celów prawnych.

5. Lista podmiotów, których dane osobowe są przetwarzane przez PJSC Gazprom

5.1. PJSC Gazprom przetwarza dane osobowe następujących kategorii podmiotów:

• pracownicy pionów strukturalnych administracji PJSC Gazprom, jej oddziałów i przedstawicielstw;
• pracownicy spółek zależnych i organizacji PJSC Gazprom;
• innym podmiotom danych osobowych (zapewnienie realizacji celów przetwarzania określonych w punkcie 4 Polityki).

6. Lista danych osobowych przetwarzanych przez PJSC Gazprom

6.1. Lista danych osobowych przetwarzanych przez PJSC Gazprom ustalana jest zgodnie z ustawodawstwem Federacji Rosyjskiej oraz lokalnymi przepisami PJSC Gazprom, z uwzględnieniem celów przetwarzania danych osobowych określonych w punkcie 4 Polityki.

6.2. PJSC Gazprom nie przetwarza szczególnych kategorii danych osobowych związanych z rasą, narodowością, poglądami politycznymi, przekonaniami religijnymi lub filozoficznymi lub życiem intymnym..

7. Funkcje PJSC Gazprom przy przetwarzaniu danych osobowych

7.1. PJSC Gazprom przy przetwarzaniu danych osobowych:

• podejmuje niezbędne i wystarczające środki w celu zapewnienia zgodności z wymogami prawa Federacji Rosyjskiej i lokalnych przepisów PJSC Gazprom w zakresie danych osobowych;
• podejmuje środki prawne, organizacyjne i techniczne w celu ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, zmianą, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem danych osobowych, a także innymi działaniami niezgodnymi z prawem w stosunku do danych osobowych;
• wyznacza osobę odpowiedzialną za organizację przetwarzania danych osobowych w PJSC Gazprom;
• wydaje lokalne przepisy regulujące politykę oraz kwestie przetwarzania i ochrony danych osobowych w PJSC Gazprom;
• zapoznaje pracowników PJSC Gazprom, jej oddziałów i przedstawicielstw bezpośrednio przetwarzających dane osobowe z przepisami prawa Federacji Rosyjskiej i lokalnymi przepisami PJSC Gazprom w zakresie danych osobowych, w tym z wymogami ochrony danych osobowych oraz szkoli tych pracowników ;
• publikuje lub w inny sposób zapewnia nieograniczony dostęp do niniejszej Polityki;
• informuje w określony sposób podmioty danych osobowych lub ich przedstawicieli informacje o dostępności danych osobowych dotyczących odpowiednich podmiotów, zapewnia możliwość zapoznania się z tymi danymi osobowymi podczas kontaktu i (lub) otrzymywania wniosków od tych podmiotów danych osobowych lub ich przedstawicieli, chyba że ustawodawstwo Federacji Rosyjskiej stanowi inaczej Federacja;
• zaprzestaje przetwarzania i niszczy dane osobowe w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych;
• wykonuje inne czynności przewidziane przez ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych.

8. Warunki przetwarzania danych osobowych w PJSC Gazprom

8.1. Przetwarzanie danych osobowych w PJSC Gazprom odbywa się za zgodą podmiotu danych osobowych na przetwarzanie jego danych osobowych, chyba że ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych stanowi inaczej.

8.2. PJSC Gazprom nie ujawnia osobom trzecim i nie rozpowszechnia danych osobowych bez zgody podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej.

8.3. PJSC Gazprom ma prawo powierzyć przetwarzanie danych osobowych innej osobie za zgodą podmiotu danych osobowych na podstawie umowy zawartej z tą osobą. Umowa musi zawierać wykaz czynności (operacji) na danych osobowych, które będą wykonywane przez osobę przetwarzającą dane osobowe, cele przetwarzania, obowiązek takiej osoby do zachowania poufności danych osobowych oraz zapewnienia bezpieczeństwa danych osobowych w trakcie ich przetwarzania, a także wymagania dotyczące ochrony przetwarzanych danych osobowych w zgodnie z art. 19 ustawy federalnej „O danych osobowych”.

8.4. W celu wewnętrznego wsparcia informacyjnego PJSC Gazprom może tworzyć wewnętrzne materiały referencyjne, które za pisemną zgodą podmiotu danych osobowych, o ile ustawodawstwo Federacji Rosyjskiej nie stanowi inaczej, mogą zawierać jego nazwisko, imię, nazwisko rodowe, miejsce pracy, stanowisko, rok i miejsce urodzenia., adres, numer abonenta, adres e-mail, inne dane osobowe zgłoszone przez podmiot danych osobowych.

8.5. Dostęp do danych osobowych przetwarzanych przez PJSC Gazprom mają wyłącznie pracownicy PJSC Gazprom zajmujący stanowiska wymienione w wykazie stanowisk strukturalnych działów administracji PJSC Gazprom, jej oddziałów i przedstawicielstw, po których zmianie są przetwarzane dane osobowe.

9. Lista działań z danymi osobowymi i sposobów ich przetwarzania

9.1. PJSC Gazprom gromadzi, rejestruje, systematyzuje, gromadzi, przechowuje, wyjaśnia (aktualizuje, zmienia), pobiera, wykorzystuje, przekazuje (rozpowszechnia, udostępnia, udostępnia), depersonalizuje, blokuje, usuwa i niszczy dane osobowe.

9.2. Przetwarzanie danych osobowych w PJSC Gazprom odbywa się w następujący sposób:

• niezautomatyzowane przetwarzanie danych osobowych;
• zautomatyzowane przetwarzanie danych osobowych z lub bez przesyłania informacji otrzymanych za pośrednictwem sieci informatycznych i telekomunikacyjnych;
• mieszane przetwarzanie danych osobowych.

10. Prawa podmiotów danych osobowych

10.1. Osoby, których dane dotyczą, mają prawo do:

• pełne informacje o przetwarzanych przez nich danych osobowych PJSC Gazprom;
• dostęp do ich danych osobowych, w tym prawo do otrzymania kopii wszelkich akt zawierających ich dane osobowe, z wyjątkiem przypadków przewidzianych przez prawo federalne, a także do dostępu do danych medycznych, które ich dotyczą, z pomocą wybranego przez siebie lekarza;
• wyjaśnienia Twoich danych osobowych, ich zablokowania lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, niedokładne, pozyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania;
• cofnięcie zgody na przetwarzanie danych osobowych;
• podejmowanie środków przewidzianych prawem w celu ochrony ich praw;
• wniesienia odwołania od działań lub zaniechań PJSC Gazprom, dokonanych z naruszeniem wymogów ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych, do uprawnionego organu ochrony praw podmiotów danych osobowych lub do sądu;
• wykonywanie innych praw przewidzianych w ustawodawstwie Federacji Rosyjskiej.

11. Środki podjęte przez PJSC Gazprom w celu zapewnienia wypełnienia obowiązków operatora przy przetwarzaniu danych osobowych

11.1. Do środków niezbędnych i wystarczających dla zapewnienia, że ​​PJSC Gazprom wywiązuje się z obowiązków operatora wynikających z ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych, należą:

• wyznaczenie osoby odpowiedzialnej za organizację przetwarzania danych osobowych w PJSC Gazprom;
• przyjęcie lokalnych przepisów i innych dokumentów w zakresie przetwarzania i ochrony danych osobowych;
• organizowanie szkoleń i prowadzenie prac metodycznych z pracownikami pionów strukturalnych administracji PJSC Gazprom, jej oddziałów i przedstawicielstw zajmujących stanowiska wpisane na listę stanowisk strukturalnych działów administracji PJSC Gazprom, jej spółek zależnych i przedstawicielstw, po których zastąpieniu przetwarzane są dane osobowe;
• uzyskanie zgody podmiotów danych osobowych na przetwarzanie ich danych osobowych, z wyłączeniem przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej;
• oddzielenie danych osobowych przetwarzanych bez użycia narzędzi automatyzacji od innych informacji, w szczególności poprzez utrwalenie ich na odrębnych materialnych nośnikach danych osobowych, w specjalnych działach;
• zapewnienie odrębnego przechowywania danych osobowych i ich materialnych nośników, których przetwarzanie odbywa się w różnych celach i które zawierają różne kategorie danych osobowych;
• nałożenie zakazu przekazywania danych osobowych otwartymi kanałami komunikacyjnymi, sieciami komputerowymi poza obszarem kontrolowanym, EVSPD PJSC Gazprom oraz sieciami internetowymi bez stosowania środków ustanowionych przez PJSC Gazprom w celu zapewnienia bezpieczeństwa danych osobowych (z wyjątkiem publicznie dostępnych i (lub) zanonimizowanych danych osobowych dane);
• przechowywanie materialnych nośników danych osobowych z zachowaniem warunków zapewniających bezpieczeństwo danych osobowych i wykluczających dostęp do nich osób nieuprawnionych;
• kontrola wewnętrzna w zakresie zgodności przetwarzania danych osobowych z ustawą federalną „O danych osobowych” i regulacyjnymi aktami prawnymi przyjętymi na jej podstawie, wymogami dotyczącymi ochrony danych osobowych, niniejszą Polityką, lokalnymi aktami prawnymi PJSC Gazprom;
• inne środki przewidziane przez ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych.

11.2. Środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych ustalane są zgodnie z lokalnymi przepisami PJSC Gazprom regulującymi kwestie zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych PJSC Gazprom.

12. Monitorowanie zgodności z ustawodawstwem Federacji Rosyjskiej i lokalnymi przepisami PJSC Gazprom w zakresie danych osobowych, w tym wymogami dotyczącymi ochrony danych osobowych

12.1. Kontrola przestrzegania przez jednostki strukturalne administracji PJSC Gazprom, jej oddziałów i przedstawicielstw z ustawodawstwem Federacji Rosyjskiej i lokalnymi przepisami PJSC Gazprom w zakresie danych osobowych, w tym z wymogami ochrony danych osobowych, prowadzona jest w celu weryfikacji zgodności przetwarzania danych osobowych w strukturach pododdziały administracji PJSC Gazprom, jej oddziały i przedstawicielstwa ustawodawstwa Federacji Rosyjskiej i lokalnych przepisów PJSC Gazprom w zakresie danych osobowych, w tym wymagań dotyczących ochrony danych osobowych, a także środków podjętych w celu zapobiegania i identyfikacji naruszeń ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych, identyfikacja możliwych kanałów wycieku i nieuprawnionego dostępu do danych osobowych, eliminacja skutków takich naruszeń.

12.2. Kontrolę wewnętrzną nad przestrzeganiem przez jednostki strukturalne administracji PJSC Gazprom, jej oddziały i przedstawicielstwa ustawodawstwa Federacji Rosyjskiej oraz lokalnych przepisów PJSC Gazprom w zakresie danych osobowych, w tym wymogów dotyczących ochrony danych osobowych, prowadzi osoba odpowiedzialna za organizację przetwarzania danych osobowych w PJSC Gazprom.

12.3. Wewnętrzną kontrolę nad zgodnością przetwarzania danych osobowych z ustawą federalną „O danych osobowych” oraz regulacyjnymi aktami prawnymi przyjętymi na jej podstawie, wymogami dotyczącymi ochrony danych osobowych, niniejszą Polityką, przepisami lokalnymi PJSC Gazprom prowadzi Służba Bezpieczeństwa Korporacyjnego PJSC Gazprom.

12.4. Osobista odpowiedzialność za przestrzeganie wymogów ustawodawstwa Federacji Rosyjskiej i lokalnych przepisów PJSC Gazprom w zakresie danych osobowych w wydziale strukturalnym administracji PJSC Gazprom, jej oddziału i przedstawicielstwa, a także za zapewnienie poufności i bezpieczeństwa danych osobowych w tych oddziałach PJSC Gazprom przydzielony ich przywódcom.

Polityka przetwarzania danych osobowych

ZATWIERDZONE zarządzeniem CJSC PF SKB Kontur z dnia 29 grudnia 2012 r. Nr 299

1. Cel i zakres

1.1. Niniejszy dokument (dalej Polityka) określa cele i ogólne zasady przetwarzania danych osobowych, a także środki podejmowane w celu ochrony danych osobowych w CJSC PF SKB Kontur (dalej jako Operator). Polityka jest publicznie dostępnym dokumentem Operatora i przewiduje możliwość zapoznania się z nią przez każdą osobę.

1.2. Polityka jest ważna przez czas nieokreślony po zatwierdzeniu i do momentu zastąpienia jej nową wersją.

1.3. W Polityce zastosowano terminy i definicje zgodnie z ich znaczeniem, zgodnie z definicją zawartą w FZ-152 „O danych osobowych”.

1.4. Polityka dotyczy wszystkich pracowników Operatora (w tym pracowników na umowę o pracę oraz pracowników zatrudnionych na umowę o pracę) oraz wszystkich pionów strukturalnych Spółki, w tym wyodrębnionych oddziałów. Wymagania Polityki są również uwzględniane i przedstawiane w stosunku do innych osób, jeżeli jest to niezbędne do ich udziału w procesie przetwarzania danych osobowych przez Operatora, a także w przypadkach przekazywania im danych osobowych w określony sposób na podstawie umów, umów, zleceń przetwarzania.

2. Informacje o przetwarzaniu danych osobowych

2.1. Przetwarzanie danych osobowych przez Operatora odbywa się w sposób mieszany: z wykorzystaniem narzędzi automatyzacji i bez.

2.2. Działania dotyczące danych osobowych obejmują gromadzenie, rejestrowanie, systematyzację, gromadzenie, przechowywanie, wyjaśnianie (aktualizację, zmianę), wydobywanie, wykorzystywanie, przekazywanie (dystrybucję, udostępnianie, dostęp), depersonalizację, blokowanie, usuwanie, niszczenie danych.

2.3. Przetwarzanie danych osobowych odbywa się przez Operatora na podstawie prawnej i rzetelnej, podstawą prawną przetwarzania jest:

• Konstytucja Federacji Rosyjskiej;
• Kodeks pracy Federacji Rosyjskiej;
• Kodeks cywilny Federacji Rosyjskiej;
• Kodeks podatkowy Federacji Rosyjskiej;
• Ustawa federalna z 27.07.2006. Nr 152-FZ „O danych osobowych”;
• Ustawa federalna z dnia 10 stycznia 2002 r. Nr 1-FZ „O elektronicznym podpisie cyfrowym”;
• Ustawa federalna z dnia 06.04.2011. Nr 63-FZ „O podpisach elektronicznych”;
• Ustawa federalna z dnia 4 maja 2011 r Nr 99-FZ „O udzielaniu licencji na określone rodzaje działalności”;
• Ustawa federalna z dnia 7 lipca 2003 r. Nr 126-FZ „On Communication”;
• Ustawa federalna z dnia 1 kwietnia 1996 r Nr 27-FZ „O rozliczaniu indywidualnym (personifikowanym) w systemie obowiązkowego ubezpieczenia emerytalnego”;
• Ustawa federalna z dnia 24.07.2009. Nr 212-FZ „W sprawie składek ubezpieczeniowych do Funduszu Emerytalnego Federacji Rosyjskiej, Funduszu Ubezpieczeń Społecznych Federacji Rosyjskiej, Federalnego Funduszu Obowiązkowego Ubezpieczenia Medycznego i Terytorialnych Funduszy Obowiązkowego Ubezpieczenia Medycznego”;
• Ustawa federalna z 22.10.2004. Nr 125-FZ „O sprawach archiwalnych w Federacji Rosyjskiej”;
• Ustawa Federacji Rosyjskiej z 10.07.1992 r. Nr 3266-1 „O edukacji”;
• Statut CJSC PF SKB Kontur;
• Regulamin Centrum Certyfikacji CJSC PF SKB Kontur.

2.4. Treść i ilość przetwarzanych danych osobowych są określane na podstawie celów przetwarzania. Dane osobowe, które są zbędne lub niezgodne z następującymi głównymi celami, nie są przetwarzane:

• zawarcie stosunków pracy z osobami fizycznymi;
• wypełnienie zobowiązań umownych Operatora;
• pełnienie funkcji ośrodka certyfikacji;
• zgodność z obowiązującymi przepisami prawa pracy, rachunkowości, emerytur i innymi przepisami Federacji Rosyjskiej.

2.5. Do głównych kategorii osób, których dane dotyczą, których dane są przetwarzane przez Operatora, należą:

• osoby, które pozostają w stosunkach pracy i cywilnoprawnych z Operatorem;
• osoby pozostające w stosunkach pracy i cywilnoprawnych z kontrahentami Operatora;
• ubiegający się o pracę.

2.6. Dla określonych kategorii podmiotów przetwarzane mogą być: nazwisko, imię, patronimik; rok, miesiąc, data urodzenia; miejsce urodzenia, adres; stan cywilny; status społeczny; stan nieruchomości; Edukacja; zawód; dochód; NIP, SNILS, dane kontaktowe (numer telefonu, adres e-mail), inne informacje podane w standardowych formularzach i ustalona procedura przetwarzania.

2.7. Przetwarzanie zapewnia dokładność danych osobowych, ich wystarczalność i przydatność w stosunku do celów przetwarzania danych osobowych. W przypadku znalezienia niedokładnych lub niekompletnych danych osobowych, są one wyjaśniane i aktualizowane.

2.8. W przypadku danych osobowych, które nie są publicznie dostępne, zapewniona jest poufność.

2.9. Przetwarzanie i przechowywanie danych osobowych odbywa się nie dłużej niż wymaga tego cel przetwarzania danych osobowych, jeśli nie ma podstaw prawnych do dalszego przetwarzania, na przykład jeśli prawo federalne lub umowa z podmiotem danych osobowych nie przewidują odpowiedniego okresu przechowywania. Przetwarzane dane osobowe podlegają zniszczeniu lub depersonalizacji po zaistnieniu następujących przesłanek:

• realizacja celów przetwarzania danych osobowych lub maksymalne okresy przechowywania - w ciągu 30 dni;
• utrata konieczności realizacji celów przetwarzania danych osobowych - w ciągu 30 dni;
• zapewnienie przez podmiot danych osobowych lub jego przedstawiciela ustawowego potwierdzenia, że ​​dane osobowe zostały pozyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania - w terminie 7 dni;
• brak możliwości zapewnienia legalności przetwarzania danych osobowych - w ciągu 10 dni;
• cofnięcia przez podmiot danych osobowych zgody na przetwarzanie danych osobowych, jeżeli przechowywanie danych osobowych nie jest już niezbędne do celów przetwarzania danych osobowych - w terminie 30 dni;
• cofnięcie przez podmiot danych osobowych zgody na wykorzystywanie danych osobowych do kontaktów z potencjalnymi konsumentami przy promocji towarów i usług - w terminie 2 dni;
• upływu terminu przedawnienia stosunków prawnych, w ramach których odbywa się lub odbywa się przetwarzanie danych osobowych;
• likwidacja (reorganizacja) Operatora.

2.10. Przetwarzanie danych osobowych na podstawie umów i innych umów Operatora, instrukcji dla Operatora oraz instrukcji Operatora dotyczących przetwarzania danych osobowych odbywa się zgodnie z warunkami tych umów, umów Operatora, a także umów z osobami, którym powierzono przetwarzanie lub którym powierzono przetwarzanie na podstawie prawnej. Takie umowy mogą regulować między innymi:

• cele, warunki, zasady przetwarzania danych osobowych;
• obowiązki stron, w tym środki zapewniające poufność;
• prawa, obowiązki i odpowiedzialność stron w zakresie przetwarzania danych osobowych.

2.11. W przypadkach nie przewidzianych wyraźnie obowiązującymi przepisami lub umową przetwarzanie odbywa się po uzyskaniu zgody podmiotu danych osobowych. Zgoda może być wyrażona w formie działania, akceptacji warunków

umowę ofertową, naniesienie odpowiednich znaków, wypełnienie pól w formularzach, formularzach lub sporządzone w formie pisemnej zgodnie z przepisami prawa. Obowiązkowym przypadkiem uzyskania uprzedniej zgody jest np. Kontakt z potencjalnym konsumentem przy promocji towarów i usług Operatora na rynku.

2.12. Operator jest wpisany do rejestru upoważnionego organu ochrony praw osób, których dane dotyczą, pod numerem 09-0066830. Rejestr zawiera informacje o Operatorze, w tym: imię i nazwisko, dane kontaktowe do zapytań, informacje o przetwarzaniu danych osobowych i środkach bezpieczeństwa.

3. Środki zapewniające bezpieczeństwo danych osobowych

3.1. Operator podejmuje niezbędne środki prawne, organizacyjne i techniczne zapewniające bezpieczeństwo danych osobowych, chroniące je przed nieuprawnionym (w tym przypadkowym) dostępem, zniszczeniem, modyfikacją, blokowaniem dostępu i innymi nieuprawnionymi działaniami. Takie środki obejmują w szczególności:

• wyznaczenie pracowników odpowiedzialnych za organizację przetwarzania i zapewnienie bezpieczeństwa danych osobowych;
• sprawdzanie dostępności w umowach oraz w razie potrzeby w umowach klauzul o zapewnieniu poufności danych osobowych;
• wydawanie lokalnych ustaw o przetwarzaniu danych osobowych, zapoznawanie pracowników z nimi, szkolenie użytkowników;
• zapewnienie fizycznego bezpieczeństwa pomieszczeń i obiektów przetwarzania, kontroli dostępu, bezpieczeństwa, nadzoru wideo;
• ograniczanie i różnicowanie dostępu pracowników i innych osób do danych osobowych i środków przetwarzania, monitorowanie działań z danymi osobowymi;
• identyfikacja zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania, tworzenie na ich podstawie modeli zagrożeń;
• stosowanie narzędzi zabezpieczających (narzędzia antywirusowe, zapory sieciowe, ochrona przed nieuprawnionym dostępem, narzędzia kryptograficznej ochrony informacji), w tym te, które przeszły procedurę oceny zgodności w określony sposób;
• ewidencjonowanie i przechowywanie nośników informacji, z wyłączeniem ich kradzieży, zastępowania, nieuprawnionego kopiowania i niszczenia;
• tworzenie kopii zapasowych informacji o możliwości odzyskania;
• realizacja wewnętrznej kontroli przestrzegania ustalonego zlecenia, weryfikacja skuteczności podjętych działań, reagowanie na incydenty.

4. Prawa podmiotów danych osobowych

4.1. Podmiot danych osobowych ma prawo cofnąć zgodę na przetwarzanie danych osobowych poprzez przesłanie do Operatora stosownego żądania pocztą lub poprzez kontakt osobisty.

4.2. Podmiot danych osobowych ma prawo do otrzymywania informacji związanych z przetwarzaniem jego danych osobowych, w tym zawierających:

• potwierdzenie faktu przetwarzania danych osobowych przez Operatora;
• podstawy prawne i cele przetwarzania danych osobowych;
• cele i sposoby przetwarzania danych osobowych wykorzystywane przez Operatora;
• nazwa i lokalizacja Operatora, informacje o osobach (z wyjątkiem pracowników / pracowników Operatora), które mają dostęp do danych osobowych lub którym dane osobowe mogą być ujawnione na podstawie umowy z Operatorem lub na podstawie prawa federalnego;
• przetwarzane dane osobowe dotyczące odpowiedniego podmiotu danych osobowych, źródła ich otrzymania, chyba że prawo federalne przewiduje inną procedurę przekazywania tych danych;
• warunki przetwarzania danych osobowych, w tym warunki ich przechowywania;
• procedurę wykonywania przez podmiot danych osobowych praw przewidzianych w ustawie federalnej „O danych osobowych”;
• informacje o dokonanym lub spodziewanym transgranicznym transferze danych;
• imię lub nazwisko, imię, nazwisko i adres osoby przetwarzającej dane osobowe w imieniu Operatora, jeżeli przetwarzanie jest lub będzie tej osobie powierzone;
• inne informacje określone w ustawie federalnej „O danych osobowych” lub innych przepisach federalnych.

4.3. Podmiot danych osobowych ma prawo żądać od Operatora doprecyzowania jego danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, niedokładne, pozyskane niezgodnie z prawem lub nie są niezbędne do wskazanego celu przetwarzania, a także podjęcia przewidzianych prawem środków ochrony przysługujących jej praw.

4.4. Jeżeli podmiot danych osobowych uważa, że ​​Operator przetwarza jego dane osobowe z naruszeniem wymogów ustawy federalnej „O danych osobowych” lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo odwołać się od działań lub zaniechań Operatora do uprawnionego organu ochrony praw podmiotów danych osobowych (Federalna Służba Nadzoru w Sferze Komunikacji, Technologii Informacyjnych i Mediów - Roskomnadzor) lub w sądzie.

4.5. Podmiot danych osobowych ma prawo do ochrony swoich praw i interesów prawnych, w tym do zadośćuczynienia za szkody i (lub) zadośćuczynienia za krzywdę moralną w sądzie.

5. Role i obowiązki

5.1. Prawa i obowiązki Operatora określają obowiązujące przepisy prawa i umowy Operatora.

5.2. Kontrolę nad spełnianiem wymagań niniejszej Polityki sprawuje osoba odpowiedzialna za organizację przetwarzania danych osobowych oraz Dział Bezpieczeństwa Informacji Operatora w ramach swoich uprawnień..

5.3. Odpowiedzialność osób zaangażowanych w przetwarzanie danych osobowych na podstawie poleceń Operatora za niezgodne z prawem wykorzystanie danych osobowych wynika z warunków umowy cywilnoprawnej zawartej pomiędzy Operatorem a kontrahentem lub Umowy o zachowaniu poufności informacji.

5.4. Osoby winne naruszenia zasad dotyczących przetwarzania i ochrony danych osobowych ponoszą odpowiedzialność materialną, dyscyplinarną, administracyjną, cywilną lub karną w sposób określony przez prawo federalne, ustawy lokalne, umowy Operatora.