Положение об обработке персональных данных

1.1. Настоящее Положение Акционерного общества "Главновосибирскстрой" «Об обработке персональных данных (далее - Положение) разработано во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение действует в отношении всех персональных данных, которые обрабатывает Акционерное общества "Главновосибирскстрой" (ОГРН 1025402454703, ИНН 5406109142, адрес местонахождения: АО «Главновосибирскстрой» 630091, г. Новосибирск, ул. Каменская, 64а, оф. 114 (далее – Оператор, Общество).

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайтах Оператора: https://sibyt.ru/, https://ao-gns.ru/, https://brickstone.su/, https://gns-tender.ru.

1.4. Требования Положения служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных субъектов персональных данных.

1.5 Настоящее Положение действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество и/или связанные с ним юридические лица могут получить о субъекте персональных данных при осуществления основной хозяйственной деятельности.

1.6. Обработка персональных данных у Оператора выполняется с использованием средств автоматизации или без использования таких средств. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

1.7. Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

Организация обработки и защиты персональных данных Оператором, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, закрепленных в Законе о персональных данных, которые являются основой соблюдения требований законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

• осуществление обработки персональных данных на законной и справедливой основе;
• обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
• обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
• недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
• обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
• осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
• уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Банка), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.

Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Законом о персональных данных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных Оператором, являются:

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

АО «ГНС» - Акционерное общества "Главновосибирскстрой" (ОГРН 1025402454703, ИНН 5406109142, адрес местонахождения: АО «Главновосибирскстрой» 630091, г. Новосибирск, ул. Каменская, 64а, оф. 114.

Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.

Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.

Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.

Контролирующий орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

Конфиденциальность ПДн - обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Личный кабинет - приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

ПДн, разрешенные субъектом ПДн для распространения - ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ.

Пользователь - любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте.

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Сайт Общества - официальные сайты АО «Главновосибирскстрой»: https://sibyt.ru/, https://ao-gns.ru/, https://brickstone.su/, https://gns-tender.ru.

Специальные категории ПДн – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Удаление ПДн - изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Файлы Сookies - это небольшие фрагменты данных, которые Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Пользователя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя. Пользователь может удалить сохраненные Сookies в настройках соответствующего браузера.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу TCP/IP.

5.1. Обработка персональных данных Субъектов персональных данных осуществляется Оператором в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Для каждой цели обработки персональных данных Оператором определены:

• соответствующие категории и перечень обрабатываемых персональных данных;
• категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором;
• способы и сроки обработки и хранения персональных данных;
• порядок уничтожения персональных данных.

5.3. Цели обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных приведены в Приложении 1 к настоящей Политике, являющемся ее неотъемлемой частью.

5.4. Для каждой указанной в Приложении 1 к настоящей Политике цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Оператором персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений внутренних документов Оператора, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований. Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном Законодательством РФ.

5.5. Сроки обработки и хранения персональных данных для каждой указанной в Приложении 1 к настоящему Положению цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, стороной которого является субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.

5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, Оператором не допускается, за исключением случаев, предусмотренных законодательством РФ. В частности, если:

• работник Оператора или другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальным категориям;
• получено согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.

5.7. Обработка биометрических персональных данных Оператором не осуществляется.

5.8. Трансграничная передача персональных данных Оператором не осуществляется.

5.9. Прекращение обработки и уничтожение персональных данных осуществляется:

• по требованию субъекта прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
• по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем персональных данных;
• при выявлении неправомерной обработки персональных данных;
• при отзыве согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом о персональных данных;
• по требованию субъекта персональных данных прекратить обработку его ПДн, за исключением случаев, предусмотренных Законом о персональных данных;
• при утрате необходимости в достижении целей обработки персональных данных;
• по достижении целей обработки;
• по истечении установленных сроков хранения персональных данных.

6.1. Права субъектов персональных данных:

6.1.1. Свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Закона о персональных данных к форме и содержанию согласий на обработку персональных данных.

6.1.2. Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

Сведения, указанные выше, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные выше, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.1.3. Субъекты персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если, по мнению субъектов персональных данных, данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.4. Также субъекты персональных данных могут отозвать данное ими согласие на обработку персональных данных, включая согласие на получение информации информационного и/или рекламного характера.

6.1.5. Осуществлять иные права, предусмотренные Законодательством РФ.

6.2. Обязанности субъектов персональных данных

6.2.1 Субъекты персональных данных обязаны:

• предоставлять достоверную и актуальную информацию о себе, в том числе актуальные контактные данные, принадлежащие субъекту персональных данных;
• своевременно сообщать о необходимости внесения изменений (обновлений, уточнений) в персональные данные;
• знакомиться с актуальными версиями юридических документов Общества, публикуемых на внутренних и внешних ресурсах Общества или доступных для ознакомления иным способом, в том числе настоящей Политики, Положения об обработке и защите персональных данных и иных документов Общества.

6.3. Обязанности Оператора персональных данных

6.3.1 Общество, являясь Оператором персональных данных, обязано:

• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;
• при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Банку сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
• в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
• в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Законом о персональных данных, с учетом установленных Законодательством РФ исключений;
• выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от контролирующих органов;
• принимать меры, направленные на обеспечение выполнения требований Закона о персональных данных;
• принимать меры по обеспечению безопасности персональных данных при их обработке;
• выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
• выполнять обязанности, установленные Законом о персональных данных для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
• взаимодействовать с контролирующими органами по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Законом о персональных данных.

6.4. Права Оператора персональных данных

• обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом о персональных данных;
• осуществлять передачу персональных данных Субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона о персональных данных;
• отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом о персональных данных;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;

7.1. Общие положения

7.1.1. Просмотр сайта, а также использование его программ и продуктов подразумевают автоматическое согласие Пользователя с настоящим Положением, подразумевающим предоставление Пользователем персональных данных на обработку.

7.1.2. Если Пользователь не принимает настоящее Положение, он должен покинуть сайт.

7.1.3 Настоящее Положение распространяется только на сайты Оператора. Если по ссылкам, размещенным на сайте, Пользователь зайдет на ресурсы третьих лиц, Оператор не несет ответственности за действия третьих лиц.

7.2.2. Информация о файлах Сookie

Обрабатываемые Оператором файлы Сookie - это техническая и служебная информация о посещении сетевого ресурса. Файлы Сookie запоминают информацию о предпочтениях Пользователя и позволяют адаптировать сайт для удобства взаимодействия с ним в течение определенного периода времени.

Файлы Сookie необходимы Оператору в следующих целях:

• открыть Пользователю доступ к персонализированным ресурсам Сайта;
• установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования сайта, обработка пользовательских запросов и заявок, оказание прочих услуг;
• определить местонахождение Пользователя, чтобы обеспечить безопасность платежей и предотвратить мошенничество;
• подтвердить полноту и достоверность данных, предоставленных Пользователем;
• создать учетную запись для совершения Покупок, если Пользователь изъявил на то свое желание;
• уведомить пользователя о состоянии его заказа на Сайте;
• обрабатывать и получать платежи, подтверждать налог или налоговые льготы, оспаривать платеж, определять, целесообразно ли предоставить конкретному Пользователю товарный кредит;
• обеспечить Пользователю максимально быстрое решение проблем, встречающихся при использовании Сайтом, за счет эффективной клиентской и технической поддержки;
• своевременно информировать Пользователя об обновлениях, знакомить с уникальными предложениями, новыми прайсами, продукцией, новостями о деятельности Сайта или его партнеров и прочими сведениями, если Пользователь изъявит на то свое согласие;
• рекламировать товары, если Пользователь изъявит на то свое согласие;
• предоставить Пользователю доступ к сервисам Сайта, помогая ему тем самым получать продукты, обновления и услуги.

Виды файлов Сookie, которые могут быть использованы Оператором:

• Сессионные - такие Cookie существуют только во временной памяти в течение времени, когда Посетитель находится на странице Сайта. Браузеры обычно удаляют сессионные Cookie после того, как Посетитель закрывает окно Сайта. Сессионные Cookie позволяют Сайту помнить информацию о выборе Посетителя на предыдущей странице Сайте, чтобы избежать необходимости повторного ввода информации.
• Постоянные - Cookie, которые хранятся на компьютере Посетителя и не удаляются при закрытии браузера. Постоянные Cookie могут сохранять пользовательские настройки для Сайта, позволяя использовать эти предпочтения в будущих сеансах просмотра. Такие Cookie позволяют идентифицировать Посетителя как уникального пользователя Сайта, и при возвращении на Сайт помогают вспомнить информацию о Посетителе и ранее совершенных действиях.
• Статистические - такие Cookie включают в себя информацию о том, как Посетитель использует Сайт. Например, какие страницы Посетитель посещает, по каким ссылкам переходит. Главная цель таких файлов Cookie — улучшение функций Сайта.
• Обязательные - минимальный набор Cookies, использование которых необходимо для корректной работы Сайта.

7.2.3. На Сайте Оператора используется система аналитики Яндекс.Метрика в целях анализа пользовательской активности.

Передача персональных данных посетителей и пользователей сайта Оператора при их обработке в аналитических целях системой аналитики Яндекс.Метрика осуществляется путем их предоставления определенному кругу лиц или открытия санкционированного доступа к ним.

Система аналитики Яндекс.Метрика в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

• Политикой использования файлов cookie, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/cookies_policy;
• Условиями использования сервиса «Яндекс.Метрика», размещенными в сети «Интернет» по адресу: https://yandex.ru/legal/metrica_termsofuse;
• Политикой конфиденциальности, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/confidential.

Система аналитики Яндекс.Метрика размещает постоянный файл Сookie в клиентском веб-браузере для идентификации посетителя сайта Оператора в качестве уникального пользователя при следующем посещении данного сайта. Этот файл Сookie не может использоваться никем, кроме системы аналитики Яндекс.Метрика. Сведения, собранные с помощью файла Сookie, будут передаваться для хранения на серверы Яндекс (119021, Россия, Москва, ул. Л. Толстого, д. 16).

7.2.4. На Сайте Оператора используется сервис аналитики и обратного звонка Calltouch в целях определения рекламных источников, которые привели на сайт посетителей, совершивших обращения.

Система аналитики и обратного звонка Calltouch в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

• Лицензионным Договором-офертой № SL 65/1/050322 от 05.03.2022 г. с ООО «Колтач Солюшнс» ИНН 7703388936;
• Политикой в отношении обработки персональных данных ООО «Колтач Солюшнс», размещенной в сети Интернет по адресу: https://www.calltouch.ru/privacy_policy.pdf;
• Политикой использования файлов cookie, размещенной в сети Интернет по адресу: https://www.calltouch.ru/upload/documents/cookie-policy.pdf

Функции данного сервиса:

• функции динамического коллтрекинга (определение пользовательских сессий на сайте Оператора с целью получения информации о рекламном источнике обращения и истории посещений пользователем сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой к каждому единовременному посетителю сайта);
• функции статического коллтрекинга (определение рекламных источников, которые приводят обращения от посетителей сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой отдельных телефонных номеров к определенным Оператором рекламным источникам);
• функции динамического обратного звонка (определение времени показа сообщения посетителю сайта Оператора на основе статистических данных, аналитическая обработка голосового трафика с целью определения рекламного источника обращения);
• функции автоматического определения типа обращения (определение типа обращения, заданного Оператором, на основании аналитической обработки голосового трафика, заявок с сайта и обращений через формы коммуникации на сайте Оператора);
• функция автоматического определения признаков нецелевого обращения (определение признаков сомнительных обращений, поступающих Оператору, на основании автоматического анализа параметров посетителей сайта, характеристик телефонных номеров);
• функции сбора статистики (определение и анализ пользовательских сессий на сайте оператора с целью получения информации о рекламном источнике, который привел пользователя, действиях пользователя, совершенных на сайте, и истории посещений пользователем сайта оператора);
• функция автоматического распознавания ответа при использовании функции динамического обратного звонка (автоматическое определение ответа при совершении обратного звонка с использованием API для установки успешного соединения между оператором связи и клиентом Оператора);
• функция «интеграционный модуль с 1С» (предоставление доступа к модулю для осуществления интеграции программного обеспечения Оператора и аккаунта, предоставленного Лицензиаром).

8.1. Сбор ПДн

8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.

8.1.2. Сбор и обработка ПДн субъекта осуществляется только при условии получения предварительного согласия на это субъекта.

8.1.3. Без согласия субъектов осуществляется обработка ПДн в следующих случаях:

• обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
• обработка ПДн необходима для осуществления правосудия, для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
• обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

8.1.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Обществом согласия на обработку ПДн являются обязательными, Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

8.1.5. Если ПДн субъекта возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту:

• наименование и адрес такого третьего лица;
• цель обработки ПДн и ее правовое основание;
• перечень ПДн;
• предполагаемые пользователи ПДн;
• установленные законодательством о ПДн права субъекта ПДн;
• источник получения ПДн.

8.1.6. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании смешанной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

8.1.7. Общество осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем, в том числе, с помощью средств связи, с согласия субъектов персональных данных.

8.2. Хранение ПДн

8.2.1. Хранение ПДн осуществляется в информационных системах Общества и на бумажных носителях.

8.2.2. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками Общества, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах.

8.2.3. Документы на бумажных носителях, резервные копии без данных информационных систем хранятся в специально выделенных помещениях Общества, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.

8.2.4. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.

8.2.5. Сотрудник, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:

• обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц;
• при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом или распоряжением Управления будет возложено исполнение его обязанностей.

8.3. Условия передачи ПДн третьим лицам

8.3.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

8.3.2. Передача ПДн между подразделениями Общества осуществляется только между работниками, имеющими доступ к ПДн субъектов.

8.3.3. Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

8.3.4. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн и объем передаваемых ПДн.

8.3.5. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.

8.3.6. При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Общество ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

8.4. Уточнение, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.4.1. В соответствии со ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя, Общество на безвозмездной основе предоставляет им информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн.

8.4.2. Общество имеет право отказать в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или персональных данных субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, при этом предоставив мотивированный ответ, содержащий ссылку на положение ч.8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.

8.4.3. В случае выявления неправомерной обработки ПДн при обращении либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн с момента такого обращения или получения указанного запроса на период проверки.

8.4.4. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

8.4.5. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.4.6. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по его поручению, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества.

8.4.7. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение.

8.4.8. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

8.4.9. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации, а обработка прекращается, соответственно.

8.4.10. В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Общество незамедлительно прекращает их обработку.

8.4.11. В случае отзыва субъектом согласия на обработку его ПДн Общество прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.

8.4.12. В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Общество в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.4.13. В случае утраты необходимости в достижении целей Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

8.4.14. В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

8.5. Обезличивание персональных данных

8.5.1. Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда субъектам ПДн в случае утечки их ПДн из ИСПДн с сохранением возможности их обработки.

8.5.2. К свойствам обезличенных данных относятся:

• полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
• структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
• релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
• семантическая целостность (сохранение семантики персональных данных при их обезличивании);
• применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
• анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

8.5.3. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

• обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему идентифицировать субъекта персональных данных);
• вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
• изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
• стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
• возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
• совместимость (возможность интеграции персональных данных, обезличенных различными методами);
• параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
• возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

8.5.4. Методы обезличивания:

• метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
• метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
• метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
• метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

8.5.5. При выборе методов и процедур обезличивания персональных данных Оператору следует руководствоваться целями и задачами обработки персональных данных.

8.5.6. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.

8.5.7. Возможно объединение различных методов обезличивания в одну процедуру.

8.5.8. Обезличивание производится методами и в соответствие с требованиями, утвержденными Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных", а также Методическими рекомендациями по его применению, иными нормами действующего законодательства, подзаконных актов и локальных актов.

Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с Законом о персональных данных Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:

• определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
• для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
• проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
• обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем;
• обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
• осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;
• определяется и при необходимости актуализируется перечень лиц, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн;
• реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
• осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
• реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.

11.1. Внутренний контроль соответствия обработки персональных данных положениям Закона о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Оператора осуществляется лицом, ответственным за организацию обработки персональных данных Оператора, в порядке, определенном локальными нормативными актами Оператора в области персональных данных.

11.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

12.1. Настоящее Положение вступает в силу с момента его утверждения Директором Завода «Сибит» и действует бессрочно до замены ее новым документом (новой редакцией Положения).

12.2. Общество проводит пересмотр настоящего Положения и его актуализацию по мере необходимости, в частности:

• при изменении порядка обработки персональных данных в Обществе;
• по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;
• при изменении требований законодательства РФ в области персональных данных к порядку обработки и обеспечению безопасности персональных данных;
• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.

12.3. При внесении изменений в настоящее Положение указывается дата последнего обновления. Новая редакция вводится в действие приказом Директора Завода «Сибит» или иных уполномоченных представителей Общества.

12.4. Субъект персональных данных соглашается с положениями действующей в это время редакцией настоящего Положение, если продолжает каким-либо образом взаимодействовать с Обществом.