Меню
Обратный звонок
Контактная информация

1. Цель политики

Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, в Обществе с ограниченной ответственностью «ЕВРАЗ СТИЛ ХАУС», ИНН 9724149435, юридический адрес/адрес место- нахождения: 117105, г. Москва, вн.тер.г муниципальный округ Нагатино-Садовники, ул. Нагатинская, 3А (далее именуемое – «Общество»).

Действие Политики распространяется на все процессы Общества, в рамках которых осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таких средств.

 

2. Основные понятия в области персональных данных

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.12. Защита персональных данных - принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

2.13. Субъект персональных данных (субъект) – физическое лицо, к которому относятся соответствующие персональные данные.

2.14. Согласие на обработку персональных данных – выраженное субъектом персональных данных конкретное, предметное, информированное, сознательное и однозначное согласие на обработку персональных данных в любой позволяющей подтвердить факт его получения форме, а в случаях, предусмотренных федеральными законами – в письменной форме или в электронной форме, подписанное электронной подписью.  В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются без права распространения. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2.15. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Предоставление биометрических персональных данных не может быть обязательным.

 

3. Основные права и обязанности оператора и субъекта (-ов) персональных данных

3.1. Основные права и обязанности оператора (Общества) определены Федеральным законом «О персональных данных» от 27.07.2006 № 152 – ФЗ, в частности:

3.2. Основные права и обязанности субъекта персональных данных определены Федеральным законом «О персональных данных» от 27.07.2006 № 152 – ФЗ, в частности:

 

4.  Цели обработки персональных данных

 

5. Принципы обработки персональных данных

Обработка персональных данных в Обществе осуществляется с соблюдением следующих принципов:

 

6. Правовые основания обработки персональных данных

Обработка персональных данных Обществом допускается в следующих случаях:

 

7. Объем и категории обрабатываемых персональных данных

7.1 Состав персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и предусмотрен/определен локальным нормативным актом Общества Положением/Правилами обработки персональных данных с учётом целей обработки персональных данных, указанных в настоящей политике.

7.2 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, интимной жизни, религиозных и философских убеждений в Обществе не осуществляется.

7.3 В целях информационного обеспечения Общество может создавать общедоступные источники (в том числе справочники и адресные книги), в которые могут включаться персональные данные, сообщаемые субъектом персональных данных с его письменного согласия, если иное не предусмотрено законодательством Российской Федерации.

7.4 В Обществе могут обрабатываться биометрические персональные данные субъектов персональных данных только при наличии письменного согласия субъектов, если иное не предусмотрено законодательством Российской Федерации.

 

8. Категории субъектов персональных данных

Общество осуществляет обработку персональных данных следующих субъектов:

 

9. Порядок и условия обработки персональных данных

9.1 Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

9.2 Обработка персональных данных в Обществе осуществляется следующими способами:

информационно-телекоммуникационным сетям или без таковой;

9.3. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

9.4. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

9.5. Общество вправе с согласия субъекта персональных данных поручить обработку его персональных данных другому лицу на основании заключаемого с этим лицом договора.

9.6. Меры, необходимые и достаточные для обеспечения выполнения Обществом обязанностей операторов, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

9.7. Лицо, ответственное за организацию обработки персональных данных организует непрерывный процесс контроля соблюдения в Обществе требований федерального законодательства и локальных нормативных актов в области персональных данных.

9.8. Должностные лица Общества виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.

9.9. Общество не осуществляет трансграничную передачу персональных данных.

9.9.1. В случае принятия Обществом решения об осуществлении трансграничной передачи персональных данных Общество до начала трансграничной передачи данных обязано уведомить (на бумажном носителе или в форме электронного документа)  Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных в порядке и на условиях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», с обязательным получением до подачи такого уведомления сведений от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных (такие сведения предоставляются Обществом по запросу Роскомнадзора в течение 10 рабочих дней с даты его получения).

9.9.2. После направления уведомления, указанного в п. 9.9.1, Общество вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в утвержденный Роскомнадзором Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, до принятия решения Роскомнадзором о запрете или об ограничении трансграничной передачи персональных данных.

9.9.3. После направления уведомления, указанного в п. 9.9.1, Общество до истечения сроков, установленных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в утвержденный Роскомнадзором Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.

9.9.4. В случае принятия Роскомнадзором решения о запрете или об ограничении трансграничной передачи персональных данных Общество обязано обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

 

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

10.1. В случае подтверждения факта неточности персональных данных персональные данные подлежат уточнению Обществом, а в случае подтверждения факта неправомерности их обработки – обработка персональных данных должна быть прекращена.

10.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

10.3. Общество сообщает субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. 

11. Порядок действий в случае утечки/неправомерных действий в отношении персональных данных

11.1. Общество при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает все необходимые меры.

11.2. В случае утечки/неправомерных действий в отношении персональных данных:

11.2.1 Каждый работник Общества обязан незамедлительно уведомить лицо, ответственное за организацию обработки персональных данных, о ставшем ему известном готовящемся или свершившемся инциденте в отношении персональных данных установленным в Обществе способом.

11.2.2. Уведомление о свершившемся инциденте в отношении персональных данных должно содержать следующую информацию: источник получения информации, дату и время инцидента с персональными данными, информацию о категориях персональных данных и информационных системах персональных данных, в отношении которых произошел инцидент, и иные обстоятельства, известные работнику.

11.2.3. Ответственное лицо незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником на основании п. 11.2.2, и в случае, если факт инцидента подтвержден, незамедлительно:

— информирует руководство Общества о случившемся факте;

— инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Общества;

— выявляет предполагаемые причины инцидента;

— проводит оценку предполагаемого вреда, нанесенного правам субъектов персональных данных.

11.2.4. В срок не позднее 24 часов с момента выявления инцидента ответственное лицо уведомляет Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

11.2.5. При получении информации об инциденте должностное лицо (Руководитель службы информационных технологий (Руководитель службы IT), на которое возложены обязанности по организации и обеспечению информационной безопасности, незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Общества с привлечением заинтересованных подразделений.

Результаты расследования докладываются Генеральному директору и сообщаются в уполномоченные органы в установленном порядке.

11.2.6. По факту получения информации ответственное лицо незамедлительно, но не позднее 72 часов с момента выявления инцидента уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

 

12. Контактная информация для направления обращений

Обращения субъектов персональных данных и их представителей по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным принимаются Обществом посредством обращения на почту info.house@evrazsteel.ru

Приказ №1 от 01.07.24 Об утверждении политики в области обработки персональных данных