+7 (3532) 34-25-15
+7 (903) 367-53-59
+7 (903) 367-53-59
Политика обработки персональных данных
в ООО «ААС-ГРУПП»
в ООО «ААС-ГРУПП»
1. Назначение
Настоящая Политика обработки персональных данных (далее - Политика) является основополагающим документом, регулирующим деятельность ООО «ААС-ГРУПП» (далее - Оператора) в области обработки персональных данных. Политика определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «ААС-ГРУПП» вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
Настоящая Политика вводится в действие с даты её утверждения.
2. Общие положения
2.1. Область применения
Настоящая Политика, является общедоступной и подлежит размещению на сайте https://aac.group/.
Требования данной Политики распространяются на всех работников Оператора.
2.2. Термины, определения и сокращения
Для целей Политики используются следующие термины и сокращения:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - Общество с ограниченной ответственностью «ААС-ГРУПП» (ООО «ААС-ГРУПП»).
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Посетитель – лицо, не являющееся работником Оператора, но временно находящееся на его территории.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «ААС-ГРУПП».
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (Субъект ПДн) – физическое лицо, к которому относятся соответствующие персональные данные.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ-152 – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
ИСПДн – информационная система персональных данных;
Оператор – ООО «ААС-ГРУПП»;
ООО – общество с ограниченной ответственностью (Общество);
ПДн – персональные данные;
РФ – Российская Федерация.
2.3. Нормативные ссылки
Настоящая Политика разработана с учетом положений следующих нормативных документов:
- Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
- Конституция Российской Федерации от 12.12.1993;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
- Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
- Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Федеральный закон от 8 февраля 1998 г. N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
3. Категории субъектов и цели обработки персональных данных
В соответствии с положениями Федерального закона № 152 ФЗ «О персональных данных» Оператор самостоятельно определяет категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых ПДн.
Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях.
4. Принципы обработки персональных данных
Обработка персональных данных осуществляется на основе следующих принципов:
4.1. В случаях, предусмотренных ФЗ-152, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Допускается включение согласия в типовые формы (бланки, договоры, анкеты) материальных носителей ПДн.
В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
Типовая форма согласия в письменной форме субъекта ПДн на обработку его ПДн разрабатывается и утверждается приказом руководителя и включает в себя, как минимум, следующие сведения:
- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие субъекта ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта ПДн.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований на обработку ПДн без согласия субъекта ПДн на обработку его ПДн возлагается на Оператора.
В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
ПДн могут быть получены оператором от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия оснований, предусмотренных ФЗ-152.
Согласие на обработку ПДн может быть отозвано субъектом ПДн путем направления письменного заявления в адрес Оператора по почтовому адресу: 460009, Оренбургская область, г. Оренбург, ул. Орлова, д. 28, или в электронной форме по адресу: orensol@inbox.ru.
В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных в пп. 2-11 ч. 1 ст. 6 и ч. 2 ст. 11 ФЗ-152.
4.2. соблюдения законных прав субъекта персональных данных;
4.3. законности целей и способов обработки ПДн и добросовестности;
4.4. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
В Обществе разрабатывается и утверждается перечень персональных данных, обрабатываемых в Обществе в соответствии с ФЗ-152. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
4.7. недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн.
4.8. уничтожения персональных данных по достижении целей обработки, в случае утраты необходимости в их достижении или по истечении сроков, установленных в согласии и Оператором.
4.9. требования от контрагентов, которым поручается обработка персональных данных, соблюдения законодательства по обработке персональных данных.
4.10. принятия необходимых организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.11. соблюдения обязанностей, возлагаемых на оператора персональных данных, действующим законодательством и иными нормативными актами по обработке персональных данных.
4.12. личной ответственности сотрудников, осуществляющих обработку персональных данных.
4.13. обработка ПДн осуществляется как автоматизированная, так и без использования средств автоматизации, а также смешанным способом.
Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в информационной системе ПДн либо были извлечены из нее.
Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящей Политики.
При обработке ПДн без использования средств автоматизации в обществе должны выполняться требования Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Обработка специальных категорий персональных данных Оператором не осуществляется.
4.14. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн и локальным актом Оператора.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом и локальным актом Оператора.
5. Права Субъектов персональных данных
Оператор гарантирует субъекту ПДн, соблюдение законных прав, установленных ст. 14 — 17 ФЗ-152.
6. Конфиденциальность персональных данных
Персональные данные относятся к конфиденциальной информации. Оператор, его сотрудники и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством.
7. Срок обработки персональных данных
Обработка ПДн в ООО «ААС-ГРУПП» осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок обработки персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, иными организационно-распорядительными документами Общества, законодательством РФ.
ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено федеральным законом.
8. Передача персональных данных
Оператор в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ, либо с согласия субъекта ПДн. При этом обязательным условием предоставления ПДн третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
Договоры, заключаемые Оператором по типовой форме должны включать в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности ПДн, а также иные условия, предусмотренные законодательством РФ и связанные с обработкой ПДн.
Трансграничная передача персональных данных на территорию иностранных государств Оператором не производится.
9. Обеспечение безопасности персональных данных
9.1. ООО «ААС-ГРУПП» при обработке ПДн предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПД, предусмотренные ФЗ-152 и подзаконными актами в области защиты персональных данных.
ПДн, полученные Оператором в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
9.2. В целях реализации п.9.1. Оператором принимаются следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- создание постоянно действующей комиссии по приведению деятельности Оператора в соответствие с требованиями ФЗ-152;
- ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- сбор письменных согласий субъектов на обработку их персональных данных;
- сбор письменных согласий с сотрудников, допущенных к обработке персональных данных клиентов об их неразглашении;
- утверждение списка должностей работников, которым необходим доступ к персональным данным для выполнения служебных обязанностей;
- установка в помещениях, где обрабатываются персональные данные сейфов, шкафов, закрываемых на ключ;
- регламентирован доступ в помещения сотрудников Оператора, в которых ведется обработка персональных данных;
- постановка кабинетов на пульт охранной сигнализации.
9.3. Защита сведений, хранящихся в информационных системах Оператора от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
9.4. Организацию и контроль за защитой персональных данных работников в структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
9.5. Обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. При обработке ПДн, осуществляемой без использования средств автоматизации, обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
10. Сведения о реализуемых требованиях к защите персональных данных
Общество соблюдает обязанности Оператора ПДн, установленные статьями № 19- 20 ФЗ-152. В Обществе реализуются следующие требования законодательства в области защиты ПДн:
- требования о соблюдении конфиденциальности ПДн;
- требования об обеспечении реализации Субъектом ПДн своих прав;
- требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- требования об обязанности оператора при сборе ПДн, установленных ст. 18 ФЗ-152;
- иные требования законодательства.
В соответствии с ФЗ-152 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн.
В частности, защита ПДн достигается путем:
- назначения ответственного за обработку и защиту ПДн;
- определения угроз безопасности ПДн при их обработке в информационных системах ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- учетом машинных носителей ПДн;
- разработки подсистемы защиты информации для ИСПДн, учитывающей требования подзаконных актов РФ в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
- применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
- издания Обществом документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- издание локальных нормативных актов по вопросам обработки ПДн;
- ознакомления работников, допущенных к обработке ПДн Субъектов ПДн, с требованиями, установленными действующим законодательством РФ в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
- организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
- организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без средств автоматизации);
- организации доступа работников к информации, содержащей персональные данные Субъектов ПДн, в соответствии с их должностными (функциональными) обязанностями;
- осуществления внутреннего контроля и (или) аудита соответствия обработки ПДн федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам Оператора;
- публикация Политики обработки персональных данных в информационно-телекоммуникационной сети и размещение её на стендах офиса Оператора с целью обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
11. Уточнение, блокирование, уничтожение и обезличивание персональных данных
Уточнение, блокирование и уничтожение ПДн осуществляется в случаях, предусмотренных ст. 21 ФЗ-152.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Обезличивание ПДн может осуществляться в статистических и иных исследовательских целях за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
12. Ответственность за нарушение норм, регулирующих обработку персональных данных
Оператор и работники Оператора, виновные в нарушении требований законодательства РФ о ПДн и положений настоящей Политики, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную законодательством РФ.
Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных документов (актов) в области персональных данных в структурных подразделениях Оператора, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителей этих подразделений и работников, допущенных к обработке персональных данных.
Разглашение персональных данных сотрудников, передача их посторонним лицам, в том числе, сотрудникам Оператора, не имеющим к ним доступа, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные сотрудника, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативными актами (приказами, распоряжениями) Оператора, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Сотрудники, имеющие доступ к персональным данным субъектов ПДн, виновные в незаконном разглашении или использовании персональных данных субъектов ПДн работодателя из корыстной или иной личной заинтересованности, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.
13. Хранение и архивирование
Подлинник настоящей Политики во время срока действия хранится в офисе ООО «ААС-ГРУПП».
14. Рассылка и актуализация
Периодический пересмотр и актуализация настоящей Политики проводится Оператором по мере необходимости, но не реже 1 раза в 24 месяца. Решение об инициации процесса внесения изменений в документ принимает руководитель Оператора на основании предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов. . Актуальная версия утвержденной Политики размещена на сайте https://aac.group/. Ответственность за инициирование размещения и поддержание в актуальном состоянии размещенной на сайте Политики, а также доведение информации о месте размещения актуальной версии до всех заинтересованных подразделений несет лицо, назначенное ответственным за обработку персональных данных. Контроль за соблюдением исполнения требований настоящей Политики возлагается на ответственного за организацию обработки ПДн.
Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте Общества по адресу: https://aac.group/. Субъекты ПДн, чьи ПДн обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 460009, Оренбургская область, г. Оренбург, ул. Орлова, д. 28, или в электронной форме по адресу: orensol@inbox.ru.
Настоящая Политика обработки персональных данных (далее - Политика) является основополагающим документом, регулирующим деятельность ООО «ААС-ГРУПП» (далее - Оператора) в области обработки персональных данных. Политика определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «ААС-ГРУПП» вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
Настоящая Политика вводится в действие с даты её утверждения.
2. Общие положения
2.1. Область применения
Настоящая Политика, является общедоступной и подлежит размещению на сайте https://aac.group/.
Требования данной Политики распространяются на всех работников Оператора.
2.2. Термины, определения и сокращения
Для целей Политики используются следующие термины и сокращения:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - Общество с ограниченной ответственностью «ААС-ГРУПП» (ООО «ААС-ГРУПП»).
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Посетитель – лицо, не являющееся работником Оператора, но временно находящееся на его территории.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «ААС-ГРУПП».
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (Субъект ПДн) – физическое лицо, к которому относятся соответствующие персональные данные.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ-152 – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
ИСПДн – информационная система персональных данных;
Оператор – ООО «ААС-ГРУПП»;
ООО – общество с ограниченной ответственностью (Общество);
ПДн – персональные данные;
РФ – Российская Федерация.
2.3. Нормативные ссылки
Настоящая Политика разработана с учетом положений следующих нормативных документов:
- Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
- Конституция Российской Федерации от 12.12.1993;
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
- Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
- Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Федеральный закон от 8 февраля 1998 г. N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
3. Категории субъектов и цели обработки персональных данных
В соответствии с положениями Федерального закона № 152 ФЗ «О персональных данных» Оператор самостоятельно определяет категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых ПДн.
Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях.
4. Принципы обработки персональных данных
Обработка персональных данных осуществляется на основе следующих принципов:
4.1. В случаях, предусмотренных ФЗ-152, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Допускается включение согласия в типовые формы (бланки, договоры, анкеты) материальных носителей ПДн.
В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
Типовая форма согласия в письменной форме субъекта ПДн на обработку его ПДн разрабатывается и утверждается приказом руководителя и включает в себя, как минимум, следующие сведения:
- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие субъекта ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта ПДн.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований на обработку ПДн без согласия субъекта ПДн на обработку его ПДн возлагается на Оператора.
В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
ПДн могут быть получены оператором от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия оснований, предусмотренных ФЗ-152.
Согласие на обработку ПДн может быть отозвано субъектом ПДн путем направления письменного заявления в адрес Оператора по почтовому адресу: 460009, Оренбургская область, г. Оренбург, ул. Орлова, д. 28, или в электронной форме по адресу: orensol@inbox.ru.
В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных в пп. 2-11 ч. 1 ст. 6 и ч. 2 ст. 11 ФЗ-152.
4.2. соблюдения законных прав субъекта персональных данных;
4.3. законности целей и способов обработки ПДн и добросовестности;
4.4. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
В Обществе разрабатывается и утверждается перечень персональных данных, обрабатываемых в Обществе в соответствии с ФЗ-152. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
4.7. недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн.
4.8. уничтожения персональных данных по достижении целей обработки, в случае утраты необходимости в их достижении или по истечении сроков, установленных в согласии и Оператором.
4.9. требования от контрагентов, которым поручается обработка персональных данных, соблюдения законодательства по обработке персональных данных.
4.10. принятия необходимых организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.11. соблюдения обязанностей, возлагаемых на оператора персональных данных, действующим законодательством и иными нормативными актами по обработке персональных данных.
4.12. личной ответственности сотрудников, осуществляющих обработку персональных данных.
4.13. обработка ПДн осуществляется как автоматизированная, так и без использования средств автоматизации, а также смешанным способом.
Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в информационной системе ПДн либо были извлечены из нее.
Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящей Политики.
При обработке ПДн без использования средств автоматизации в обществе должны выполняться требования Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Обработка специальных категорий персональных данных Оператором не осуществляется.
4.14. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн и локальным актом Оператора.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом и локальным актом Оператора.
5. Права Субъектов персональных данных
Оператор гарантирует субъекту ПДн, соблюдение законных прав, установленных ст. 14 — 17 ФЗ-152.
6. Конфиденциальность персональных данных
Персональные данные относятся к конфиденциальной информации. Оператор, его сотрудники и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством.
7. Срок обработки персональных данных
Обработка ПДн в ООО «ААС-ГРУПП» осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок обработки персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, иными организационно-распорядительными документами Общества, законодательством РФ.
ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено федеральным законом.
8. Передача персональных данных
Оператор в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ, либо с согласия субъекта ПДн. При этом обязательным условием предоставления ПДн третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
Договоры, заключаемые Оператором по типовой форме должны включать в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности ПДн, а также иные условия, предусмотренные законодательством РФ и связанные с обработкой ПДн.
Трансграничная передача персональных данных на территорию иностранных государств Оператором не производится.
9. Обеспечение безопасности персональных данных
9.1. ООО «ААС-ГРУПП» при обработке ПДн предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПД, предусмотренные ФЗ-152 и подзаконными актами в области защиты персональных данных.
ПДн, полученные Оператором в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
9.2. В целях реализации п.9.1. Оператором принимаются следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- издание документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- создание постоянно действующей комиссии по приведению деятельности Оператора в соответствие с требованиями ФЗ-152;
- ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- сбор письменных согласий субъектов на обработку их персональных данных;
- сбор письменных согласий с сотрудников, допущенных к обработке персональных данных клиентов об их неразглашении;
- утверждение списка должностей работников, которым необходим доступ к персональным данным для выполнения служебных обязанностей;
- установка в помещениях, где обрабатываются персональные данные сейфов, шкафов, закрываемых на ключ;
- регламентирован доступ в помещения сотрудников Оператора, в которых ведется обработка персональных данных;
- постановка кабинетов на пульт охранной сигнализации.
9.3. Защита сведений, хранящихся в информационных системах Оператора от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
9.4. Организацию и контроль за защитой персональных данных работников в структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
9.5. Обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ. При обработке ПДн, осуществляемой без использования средств автоматизации, обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
10. Сведения о реализуемых требованиях к защите персональных данных
Общество соблюдает обязанности Оператора ПДн, установленные статьями № 19- 20 ФЗ-152. В Обществе реализуются следующие требования законодательства в области защиты ПДн:
- требования о соблюдении конфиденциальности ПДн;
- требования об обеспечении реализации Субъектом ПДн своих прав;
- требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- требования об обязанности оператора при сборе ПДн, установленных ст. 18 ФЗ-152;
- иные требования законодательства.
В соответствии с ФЗ-152 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн.
В частности, защита ПДн достигается путем:
- назначения ответственного за обработку и защиту ПДн;
- определения угроз безопасности ПДн при их обработке в информационных системах ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- учетом машинных носителей ПДн;
- разработки подсистемы защиты информации для ИСПДн, учитывающей требования подзаконных актов РФ в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
- применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
- издания Обществом документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- издание локальных нормативных актов по вопросам обработки ПДн;
- ознакомления работников, допущенных к обработке ПДн Субъектов ПДн, с требованиями, установленными действующим законодательством РФ в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
- организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
- организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без средств автоматизации);
- организации доступа работников к информации, содержащей персональные данные Субъектов ПДн, в соответствии с их должностными (функциональными) обязанностями;
- осуществления внутреннего контроля и (или) аудита соответствия обработки ПДн федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам Оператора;
- публикация Политики обработки персональных данных в информационно-телекоммуникационной сети и размещение её на стендах офиса Оператора с целью обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
11. Уточнение, блокирование, уничтожение и обезличивание персональных данных
Уточнение, блокирование и уничтожение ПДн осуществляется в случаях, предусмотренных ст. 21 ФЗ-152.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Обезличивание ПДн может осуществляться в статистических и иных исследовательских целях за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
12. Ответственность за нарушение норм, регулирующих обработку персональных данных
Оператор и работники Оператора, виновные в нарушении требований законодательства РФ о ПДн и положений настоящей Политики, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную законодательством РФ.
Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных документов (актов) в области персональных данных в структурных подразделениях Оператора, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителей этих подразделений и работников, допущенных к обработке персональных данных.
Разглашение персональных данных сотрудников, передача их посторонним лицам, в том числе, сотрудникам Оператора, не имеющим к ним доступа, их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные сотрудника, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативными актами (приказами, распоряжениями) Оператора, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Сотрудники, имеющие доступ к персональным данным субъектов ПДн, виновные в незаконном разглашении или использовании персональных данных субъектов ПДн работодателя из корыстной или иной личной заинтересованности, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.
13. Хранение и архивирование
Подлинник настоящей Политики во время срока действия хранится в офисе ООО «ААС-ГРУПП».
14. Рассылка и актуализация
Периодический пересмотр и актуализация настоящей Политики проводится Оператором по мере необходимости, но не реже 1 раза в 24 месяца. Решение об инициации процесса внесения изменений в документ принимает руководитель Оператора на основании предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов. . Актуальная версия утвержденной Политики размещена на сайте https://aac.group/. Ответственность за инициирование размещения и поддержание в актуальном состоянии размещенной на сайте Политики, а также доведение информации о месте размещения актуальной версии до всех заинтересованных подразделений несет лицо, назначенное ответственным за обработку персональных данных. Контроль за соблюдением исполнения требований настоящей Политики возлагается на ответственного за организацию обработки ПДн.
Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте Общества по адресу: https://aac.group/. Субъекты ПДн, чьи ПДн обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 460009, Оренбургская область, г. Оренбург, ул. Орлова, д. 28, или в электронной форме по адресу: orensol@inbox.ru.