Политика обработки персональных данных

Москва, 2025 г.

ОБЩИЕ ПОЛОЖЕНИЯ ПОЛИТИКИ

Политика обработки персональных данных в Арткод (далее – Политика) была создана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) и подзаконными актами, а также иными федеральными законами и подзаконными актами РФ, которые определяют случаи и особенности обработки персональных данных, а также обеспечения безопасности и конфиденциальности персональных данных.

Политика создана с целью реализации требований законодательства в области обработки и обеспечения безопасности персональных данных. Ее назначение - обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных в Компании.

Политика определяет следующие вопросы:

• принципы обработки персональных данных;
• цели, правовые основания, способы обработки персональных данных;
• перечень субъектов персональных данных, персональные данные которых проходят обработку в Компании;
• сроки обработки персональных данных;
• порядок и условия обработки персональных данных в Компании;
• права и обязанности Компании и субъектов персональных данных;
• безопасность и конфиденциальность персональных данных.

Положения Политики выступают в качестве основы организации работы по обработке персональных данных в Компании, а также для разработки внутренних нормативных актов (положений, регламентов, приказов) с целью регламентации процесса обработки персональных данных в Компании.

Положения Политики обязательны к исполнению всеми сотрудниками Компании, которые имеют доступ к персональным данным. Ознакомление сотрудников Компании с Политикой происходит под подпись.

Политика размещена на сайте Компании - https://artkod.ru/ для неограниченного доступа к ней посетителям сайта.

Необходимость обеспечения достаточного уровня информационной безопасности информационных активов Компании, к которым обязательно относятся также персональные данные, важное условие реализации целей деятельности Компании.

Необходимость достаточного уровня кибербезопасности определяется Компанией с опорой на перечень актуальных угроз в отношении персональных данных, обрабатываемых Компанией и установленных в соответствии с перечнем уровней защищённости персональных данных.

ТЕРМИНЫ И СОКРАЩЕНИЯ

1. Автоматизированная обработка персональных данных - обработка персональных данных при помощи средств вычислительной техники.

2. Блокирование персональных данных - временное прекращение обработки персональных данных (кроме случаев, когда обработка необходима с целью уточнения персональных данных).

3. Информационные активы - данные на любом носителе в форме, имеющие ценность для Компании и находящиеся в ее распоряжении.

4. Информационная безопасность (ИБ) - свойство информационных ресурсов сохранения конфиденциальности, доступности и целостности.

5. Информационные ресурсы - любые зафиксированные на каком-либо носителе данные и обеспечивающие их обработку технологии.

6. Информационная система персональных данных (ИСПДн) - совокупность всех находящихся в базах данных персональных данных и обеспечивающие их обработку информационные технологии.

7. Компания - Администрация сайта

8. Конфиденциальность персональных данных - обязательное требование к соблюдению оператором или другим лицам, получившим доступ к персональным данным, не допускать распространения этих данных без наличия согласия субъекта персональных данных или наличия для этого законных оснований.

9. Кибербезопасность - реализация защищенности киберпространства, в котором существует и функционирует бизнес, достигающаяся использованием набора средств и методик, направленных для противодействия угрозам в киберпространстве, а также минимизацию последствий их реализации.

10. Надзорный орган - орган, который уполномочен осуществлять государственный контроль и надзор за соответствием обработки персональных данных необходимым требованиям законодательства РФ о персональных данных (Роскомнадзор).

11. Обработка персональных данных – любые операции или действия, а также совокупность любых действий или операций, совершаемых с использованием средств автоматизации или без их использования с персональными данными, в том числе запись, сбор, накопление, систематизацию, хранение, извлечение, уточнение ( изменение, обновление), использование, передачу (предоставление, доступ, распространение), удаление, блокирование или уничтожение персональных данных.

12. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно, а также с другими лицами организующее и (или) проводящее обработку персональных данных, а также определяющее цели обработки персональных данных, состав данных, которые подлежат обработке, операциям, совершаемым с персональными данными.

13. Персональные данные (ПДн) - любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу (или субъекту персональных данных).

14. Предоставление персональных данных - действия, которые направлены на раскрытие персональных данных определенному лицу (определенному кругу лиц).

15. Распространение персональных данных - действия, направленные с целью раскрытия персональных данных неопределенному кругу лиц.

16. Субъект персональных данных - физическое лицо, прямо или косвенно определенное или определяемое при помощи персональных данных.

17. Трансграничная передача персональных данных – процесс передачи персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

18. Уничтожение персональных данных - действия, после реализации которых невозможно восстановить персональные данные в информационной системе персональных данных и (или) после которых происходит уничтожение материальных носителей персональных данных.

ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Компании происходит в соответствии с следующими принципами, установленными законодательством РФ:

обработка персональных данных производится на законной и справедливой основе;

обработка персональных данных ограничена конкретными, заранее определенными и законными целями;

не производится обработка персональных данных, которая несовместима с целями сбора персональных данных;

не производится объединение баз данных, которые содержат персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработка происходит только в отношении тех персональных данных, которые отвечают целям их обработки;

содержание и объем персональных данных, подлежащих обработке, обязательно отвечают заявленным целям обработки персональных данных и не должны быть избыточными в отношении заявленных целей их обработки;

во время обработки персональных данных необходимо обеспечить точность и достаточность персональных данных, а в необходимых случаях, актуальность в отношении к целям обработки персональных данных. Компания проводит необходимые меры по удалению или уточнению неполных и (или) неточных данных;

хранение персональных данных происходит в форме, которая позволяет идентифицировать субъекта персональных данных и осуществляется не дольше, чем этого требуют цели обработки данных, если сроки хранения персональных данных не установлены законом, договором, стороной которого является субъект персональных данных;

персональные данные, проходящие обработку, подлежат уничтожению после достижения целей их обработки или при утрате необходимости в достижении таких целей, если иное не предусматривается законодательством РФ.

ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных субъектов персональных данных происходит Компанией в соответствии с заранее определенными целями. В зависимости от конкретных целей обработки персональных данных эта обработка включает в себя, в том числе, совершение всех или некоторых из этих операций с персональными данными: запись, накопление, сбор (получение), хранение, систематизация, уточнение (обновление, изменение), использование, извлечение, передача (доступ, предоставление), блокирование, уничтожение, удаление персональных данных.

Для каждой из целей обработки персональных данных предусматриваются следующие способы их обработки: автоматизированная обработка персональных данных (с помощью средств вычислительной техники), а также неавтоматизированная обработка этих данных (без средств вычислительной техники) с фиксацией персональных данных на материальных носителях.

Обработка персональных данных Компанией с помощью автоматизированного (в ИСПДн) и неавтоматизированного способов производится с опорой на соблюдение требований законодательства РФ и положений внутренних документов Компании, цель которых состоит в регламентации вопросов обработки и защиты персональных данных.

Правовые основания обработки персональных данных в Компании:

Конституция РФ;

Гражданский кодекс РФ;

Трудовой кодекс РФ;

Налоговый кодекс РФ;

согласие субъекта на обработку его персональных данных;

Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;

договор, для заключения которого согласно инициативе субъекта персональных данных необходима обработка персональных данных, или договор, по которому субъект персональных данных выступает выгодоприобретателем или поручителем;

договор, для исполнения которого необходима обработка персональных данных, выгодоприобретателем, стороной или поручителем, по которому является субъект персональных данных;

Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;

Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования»;

обработка, необходимая для осуществления прав и законных интересов оператора;

Другие нормативно правовые акты РФ или документы уполномоченных органов государственной власти.

СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка и хранение персональных данных происходит не дольше, чем это требуется для реализации целей обработки персональных данных, если другие не предусмотрено законом или соглашением с субъектом персональных данных не установлены сроки их хранения.

Персональные данные, проходящие обработку в Компании, уничтожаются с наступлением этих условий:

достижение целей обработки персональных данных, а также максимальных сроков хранения — уничтожение в течение 30 дней

утрата необходимости достижения целей обработки персональных данных — уничтожение в течение 30 дней

предоставление субъектом персональных данных или его законным представителем подтверждения о том, что персональные данные получены незаконно, а также не являются необходимыми для заявленных целей их обработки — уничтожение в течение 7 дней

невозможность обеспечить правомерность обработки персональных данных — уничтожение в течение 10 дней

отзыв субъектом персональных данных согласия с обработкой его данных, если сохранение этих данных не требуется для цели обработки персональных данных — уничтожение в течение 30 дней

требование субъекта персональных данных прекратить обработку его персональных данных – уничтожение в течение 10 дней

завершение сроков исковой давности в отношении правоотношений, в рамках которых осуществляется или проходила обработка персональных данных.

Уничтожение персональных данных производится в соответствии с порядком, определенном в Положении об обработке и защите персональных данных.

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных Компанией происходит только в соответствии с действующим законодательством РФ и внутренними документами Компании. Компания соблюдает принципы и требования к обработке персональных данных, установленные законодательством РФ о персональных данных.

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания не производит трансграничную передачу персональных данных без наличия согласия субъекта персональных данных, кроме случаев, предусмотренных законом. В случае трансграничной передачи персональных данных она осуществляется только в соответствии с требованиями законодательства РФ о персональных данных.

ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты персональных данных обладают следующими правами:

получать информацию об обработке их персональных данных;

требовать уточнения, а также блокирования или уничтожения своих персональных данных в случаях, если данные неполные, устаревшие, неточные, незаконно получены или не выступают как необходимыми для заявленных целей их обработки;

отозвать свое согласие на обработку персональных данных;

обжаловать действия/бездействия Компании в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке;

на защиту своих прав и законных интересов, в том числе и на возмещение убытков и компенсацию морального вреда в определенном судебном порядке.

КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания обязуется не разглашать персональные данные субъектов персональных данных, которые обрабатывает в рамках своей деятельности, кроме случаев, прямо предусмотренных законодательством РФ или с наличием письменного согласия субъекта персональных данных.

Все сотрудники Компании, которые имеют доступ к персональным данным, обязаны соблюдать конфиденциальность этих данных.

БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания принимает все необходимые организационные, правовые и технические меры с целью защиты персональных данных от неправомерного или случайного доступа к данным, а также изменения, предоставления, блокирования, уничтожения, копирования, распространения персональных данных, а также от других неправомерных действий с персональными данными.

Для обеспечения безопасности персональных данных Компания:

назначает ответственных лиц за организацию обработки персональных данных;

производит внутренний контроль соответствия обработки персональных данных необходимым требованиям законодательства;

производит оценку вреда, который может быть причинен субъектам персональных данных;

принимает необходимые меры для обеспечения безопасности персональных данных во время их обработки;

производит учет лиц, имеющих доступ к персональным данным;

использует средства защиты информации, которые прошли процедуру оценки соответствия;

производит обучение сотрудников, которые непосредственно осуществляют обработку персональных данных.

ЗАКЛЮЧЕНИЯ

Политика общедоступна и размещается на официальном сайте Компании https://artkod.ru/

Пересмотр Политики должен осуществляться не реже одного раза в год, а также: в случае изменения законодательства РФ по вопросу обработки персональных данных;

при получении предписаний на устранение несоответствий в области действия Политики;

при необходимости в изменении целей, условий и принципов обработки персональных данных в Компании.

Контроль исполнения требований Политики производится лицами, которые ответственны за организацию обработки и обеспечение безопасности персональных данных в Компании. За неисполнение требований Политики все сотрудники Компании, обладающие доступом к персональным данным, несут ответственность в соответствии с законодательством РФ.

Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством РФ ответственность.

Субъекты персональных данных, персональные данные которых происходят обработку Компанией, могут получать разъяснения по вопросам обработки их персональных данных, а также реализовать свои права и законные интересы, направив письменное обращение по почтовому адресу: г. Москва, ул. Марксистская, д. 3 или в электронном формате по адресу: artkod.ru@yandex.ru.

Обращение от субъекта персональных данных, а также от его представителя должно содержать сведения, которые позволят идентифицировать субъекта персональных данных и его представителя (при его наличии), а также сведения, позволяющие идентифицировать характер отношений с Компанией, в том числе: имя, отчество, фамилию, субъекта персональных данных или его представителя;

номер и серию документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи этого документа и информацию об органе, выдавшем его, подпись субъекта персональных данных, а также его представителя;

в том случае, если обращение было направлено представителем субъекта персональных данных, оно должно также содержать копию документа, подтверждающего полномочия этого представителя.