1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении Обработки Персональных данных (далее – Политика) определяет политику Организацим в отношении Обработки и обеспечения безопасности Персональных данных.
1.2. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.
1.3. Целью настоящей политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Организации.
1.4. Действие Политики распространяется на все процессы Организации, связанные с Обработкой персональных данных.
1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к Обработке персональных данных в Организации.
1.6. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Организация включена в реестр операторов, осуществляющих Обработку персональных данных. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
1.7. Текущая редакция Политики размещается на сайте Организации/в Мобильном приложении Организации в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.

2. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Перечень нормативных документов:
— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»);
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСБ России от 10 июля 2014 г. №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
— Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
2.2. Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных:
2.2.1. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Организации:
— Гражданский Кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
— иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
— законодательство, основанное на статье 16 Договора о функционировании Европейского союза и статьи 7 и 8 Хартии Европейского союза об основных правах.
2.2.2. Договоры, заключаемые между Организацией и Субъектом Персональных данных, между Организацией и иным лицом, поручившим Организации обработку Персональных данных.
2.2.3. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Организации).

3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

3.1. Автоматизированная Обработка Персональных данных - Обработка Персональных данных с помощью средств вычислительной техники;
3.2. Организация - «Организация», являющаяся в рамках Федерального закона «О персональных данных» оператором по Обработке Персональных данных, а именно: организующая и (или) осуществляющая самостоятельно или совместно с другими лицами Обработку Персональных данных, а также определяющая цели Обработки Персональных данных, состав Персональных данных, подлежащих Обработке, действия (операции), совершаемые с Персональными данными;
3.3. Блокирование - временное прекращение Обработки Персональных данных (за исключением случаев, если Обработка необходима для уточнения Персональных данных);
3.4. Информационная система Персональных данных - совокупность содержащихся в базах данных Персональных данных и обеспечивающих их Обработку информационных технологий и технических средств;
3.5. Обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных;
3.6. Обработка Персональных данных/Обработка - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Распространение, Предоставление, доступ), Обезличивание, Блокирование, удаление, Уничтожение Персональных данных;
3.7. Ответственный за организацию Обработки Персональных данных - должностное лицо, которое назначается Организацией, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации Обработки Персональных данных в Организации в соответствии с положениями законодательства Российской Федерации в области Персональных данных;
3.8. Конфиденциальность персональных данных - обязательное для соблюдения Организацией или иным лицом, получившим доступ к Персональным данным, требование не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта Персональных данных или наличия иного законного основания, предусмотренного федеральным законом.
3.9. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных);
3.10. Предоставление - действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц;
3.11. Распространение - действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
3.12. Субъект Персональных данных - физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему Персональных данных;
3.13. Трансграничная передача Персональных данных - передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
3.14. Уничтожение Персональных данных - действия, в результате которых становится невозможным восстановить содержание Персональных данных в Информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОРГАНИЗАЦИЕЙ. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Организацией осуществляется Обработка полученных в установленном законом порядке Персональных данных, принадлежащих работникам Организации, клиентам – физическим лицам, в том числе потенциальным клиентам, представителям клиентов, уполномоченным представлять клиентов; руководителям и главным бухгалтерам юридических лиц, являющихся клиентами Организации, физическим лицам, заключившим с Организацией гражданско-правовые договоры на оказание услуг Организации; работникам партнеров Организации, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Организацией, с которым взаимодействуют работники Организации в рамках своей деятельности, клиентам других юридических лиц, обработка Персональных данных для которых осуществляется по поручению указанных юридических лиц в соответствии с законодательством Российской Федерации, посетителям Организации.
4.2. Обработка Персональных данных в Информационной системе Персональных данных работниками Организации осуществляется в целях осуществления операций и иной деятельности, предусмотренной законодательством Российской Федерации, а также заключения, исполнения и прекращения договоров с физическими и юридическими лицами, организации кадрового учета работников Организации, исполнения обязательств по договорам, ведения кадрового делопроизводства.

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОРГАНИЗАЦИИ


5.1. Перечень Персональных данных, в том числе специальных категорий Персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации и локальными актами Организации с учетом целей Обработки Персональных данных, указанных в разделе 4 Политики.

6. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка Персональных данных Организацией осуществляется на основе принципов:
— законности целей и способов Обработки Персональных данных;
— добросовестности Организации, как оператора Персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении Обработки Персональных данных;
— соответствия состава и объема обрабатываемых Персональных данных, а также способов Обработки Персональных данных заявленным целям Обработки;
— точности и достаточности, а в необходимых случаях и актуальности Персональных данных по отношению к заявленным целям их Обработки;
— Уничтожения Персональных данных по достижении целей Обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
— недопустимости объединения баз данных, содержащих Персональные данные, Обработка которых осуществляется в целях, несовместимых между собой.
6.2. Работники Организации, допущенные к Обработке Персональных данных, обязаны:
6.2.1. Знать и неукоснительно выполнять положения:
— законодательства Российской Федерации в области Персональных данных.
— настоящей Политики.
— локальных актов Организации по вопросам Обработки и обеспечения безопасности Персональных данных.
6.2.2. Обрабатывать Персональные данные только в рамках выполнения своих должностных обязанностей.
6.2.3. Не разглашать Персональные данные, обрабатываемые в Организации.
6.2.4. Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики.
6.2.5. Сообщать об известных фактах нарушения требований настоящей Политики.
6.2.6. Ответственному за организацию Обработки Персональных данных в Организации.
6.3. Безопасность Персональных данных в Организации обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) угроз безопасности Персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы Информационных систем Персональных данных в случае реализации угроз.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Организация осуществляет Обработку Персональных данных с использованием средств автоматизации и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Распространение, Предоставление, доступ), Обезличивание, Блокирование, удаление, Уничтожение Персональных данных в сроки, необходимые для достижения целей Обработки Персональных данных.
7.2. В Организации запрещается принятие решений на основании исключительно Автоматизированной Обработки Персональных данных, которые порождают юридические последствия в отношении Субъекта Персональных данных, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации в области Персональных данных.
7.3. Организация вправе поручить Обработку Персональных данных другому лицу с согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил Обработки Персональных данных, предусмотренных Федеральным законом «О персональных данных».
7.4. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации. При раскрытии (предоставлении) Персональных данных третьим лицам соблюдаются требования к защите обрабатываемых Персональных данных.
7.5. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к Персональным данным, обрабатываемым в Организации, в объеме и порядке, установленном законодательством Российской Федерации.
7.6. Обработка Персональных данных в Организации осуществляется с согласия Субъекта Персональных данных кроме случаев, установленных законодательством Российской Федерации с соблюдением требований Конфиденциальности персональных данных, установленных ст.7 Федерального закона «О персональных данных», а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите Персональных данных, установленных законодательством Российской Федерации.
7.7. В ходе своей деятельности Организация может осуществлять Трансграничную передачу Персональных данных в соответствии с требованиями Федерального закона «О персональных данных», с предварительным направлением в уполномоченный орган соответствующего уведомления (в случае осуществления такой трансграничной передачи).
7.8. Условием прекращения Обработки Персональных данных может являться достижение целей обработки Персональных данных, истечение срока действия согласия Субъекта Персональных данных на обработку его персональных данных или отзыв согласия Субъекта Персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
7.9. Хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных данных не дольше, чем этого требуют цели Обработки Персональных данных, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных.
7.10. В случае подтверждения факта неточности Персональных данных или неправомерности их Обработки Персональные данные подлежат актуализации Организацией, а Обработка должна быть прекращена, соответственно.
7.11. При достижении целей Обработки Персональных данных, а также в случае отзыва Субъектом Персональных данных Согласия на их Обработку Персональные данные подлежат уничтожению, в установленные законодательством Российской Федерации сроки:
— если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных;
— если Организация не вправе осуществлять обработку без согласия Субъекта Персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
— если иное не предусмотрено иным соглашением между Организацией и Субъектом Персональных данных.
7.12. Организация предоставляет Субъекту Персональных данных или его представителю сведения, касающиеся Обработки его Персональных данных, по соответствующему обращению или запросу Субъекта Персональных данных или его представителя в доступной форме и не содержащие Персональные данные, относящиеся к другим Субъектам Персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных.
Запрос Субъекта Персональных данных на получение сведений, касающихся обработки его Персональных данных Организацией, должен содержать:
— номер основного документа, удостоверяющего личность Субъекта Персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, а также, в случае обращения представителя, реквизиты доверенности или иного документа, подтверждающего полномочия представителя Субъекта персональных данных;
— сведения, подтверждающие участие Субъекта Персональных данных в отношениях с Организацией, либо сведения, иным образом подтверждающие факт Обработки Персональных данных Организацией;
— подпись Субъекта Персональных данных или его представителя.
Запрос дополнительно может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Обращение Субъекта Персональных данных или его законного представителя в Организацию в целях реализации его прав, установленных Федеральным законом «О персональных данных», осуществляется в письменном виде по установленной в Организации форме с предъявлением документа, удостоверяющего личность Субъекта Персональных данных (за исключением, когда обращение осуществляется в форме электронного документа подписанного электронной подписью в соответствии с законодательством Российской Федерации), а в случае обращения представителя (законного представителя) – c предъявлением паспорта представителя и доверенности или иного документа, подтверждающего полномочия представителя Субъекта Персональных данных. Субъект Персональных данных вправе обратиться в Организацию с претензией (информация о них размещена на сайте Организации по адресу в сети Интернет https://quizplease.ru)
Организация рассматривает обращение Субъекта Персональных данных/отзыв согласия на Обработку Персональных данных и предоставляет на него ответ в соответствии с законодательством Российской Федерации. Форма обращения Субъекта Персональных данных/отзыва согласия на Обработку Персональных направляется в свободной форме.

8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект Персональных данных имеет право на получение информации, касающейся Обработки его Персональных данных, в том числе содержащей:
— подтверждение факта Обработки Персональных данных Организацией;
— правовые основания и цели Обработки Персональных данных;
— цели и применяемые Организацией способы Обработки Персональных данных;
— наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Организацией или на основании федерального закона;
— обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки Обработки Персональных данных, в том числе сроки их хранения;
— порядок осуществления Субъектом Персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
— информацию об осуществленной или о предполагаемой Трансграничной передаче Персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку Персональных данных по поручению Организации, если Обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.2. Право Субъекта Персональных данных на получение информации, касающейся Обработки его Персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».
8.3. Согласие на Обработку Персональных данных может быть отозвано Субъектом Персональных данных. В случае отзыва Субъектом Персональных данных согласия на Обработку Персональных данных Организация вправе продолжить Обработку Персональных данных без согласия Субъекта Персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
8.4. Субъект Персональных данных также имеет права на:
— корректировку персональных данных: Субъект Персональных данных имеет право потребовать без промедления исправить неточные личные данные, которые его касаются, или дополнить неполные персональные данные.
— право на ограничение обработки: Субъект Персональных данных имеет право потребовать ограничить обработку данных в любом из этих случаев: а) субъект данных отрицает точность персональных данных, а то на время, необходимое для того, чтобы точность персональных данных была проверена; b) обработка персональных данных является незаконной, однако субъект данных не требует удаления персональных данных, но ограничения их использования; c) Организация уже не нуждается в персональных данных в целях обработки, но субъект Персональных данных нуждается в них в целях определения, исполнения или защиты правовых требований; d) субъект Персональных данных внес возражение против обработки, на время, пока не будет доказана законность наших доводов над доводами субъекта данных.
— право возражать против обработки: Субъект Персональных данных имеет право по причинам, связанным с его конкретной ситуацией, в любое время возразить против обработки персональных данных, которые его касаются и которые использует в его отношении Организация. Организация в этом случае прекращает обрабатывать персональные данные, если не доказаны законные основания для обработки.
— право на переносимость данных: Субъект Персональных данных имеет право получить персональные данные, которые его касаются, в структурированном, широко используемом и машинном формате, и право передать эти данные другому администратору, без вмешательства Организации, в случае, если: а) обработка основана на согласии b) обработка осуществляется автоматизированным способом. При осуществлении своего права на переносимость данных, субъект данных имеет право требовать передачу данных одним администратором непосредственно администратору другому, если это технически возможно.
— право подать жалобу в надзорный орган: Если субъект данных считает, что его персональные данные не обрабатываются законным образом, он имеет право подать жалобу в надзорный орган. Надзорным органом является Роскомнадзор РФ.
8.5. Субъект Персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».

9. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ

9.1. В случаях, установленных законодательством Российской Федерации в области Персональных данных, Организация обязана предоставить Субъекту Персональных данных или его представителю при обращении либо при получении запроса от Субъекта Персональных данных или его представителя информацию, предусмотренную п. 8.1 настоящей Политики.
9.2. Организация при сборе Персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
9.3. Организация несет иные обязанности, установленные Федеральным законом «О персональных данных».