01. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными (далее - "персональные данные") понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации лицу.

Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы и другая информация

1.3. ООО «АЕБ Бизнес» (далее – «Организация» или «АЕБ») является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других нормативных правовых актов Российской Федерации и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается настоящим Положением и приказом руководителя.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных.

1.7. Согласие лица, полученное Организацией, сохраняет силу в течение всего срока действия договорных отношений или иных юридически обязывающих отношений с данным лицом.

1.8. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
б) персональные данные следует получать лично у субъектов персональных данных (далее – субъект или лицо), либо у надлежаще уполномоченных представителей субъектов персональных данных.
В случае возникновения необходимости получения персональных данных у третьей стороны следует известить лицо об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;
в) запрещается получать, обрабатывать и приобщать к личному делу персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
г) при принятии решений запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации;
е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами;
ж) субъекты персональных данных и их представители должны быть ознакомлены под подпись с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
з) субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны персональных данных;
и) при необходимости Организация, субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных.

1.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Обработка персональных данных в Организации производится при непосредственном участии человека. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

02. Сохранение персональных данных в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных.

2.2. При необходимости Организация вправе проверять достоверность представленных сведений.

03. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных:

3.1.1. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, частной жизни.

3.2. Организация вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  
• наименование и адрес оператора, получающего согласие субъекта персональных данных;
  
• цель обработки персональных данных;
  
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  
• срок, в течение которого действует согласие, а также порядок его отзыва.
  
  

3.4. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях:

• персональные данные являются общедоступными;
  
• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
  
• по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;
  
• обработка персональных данных в целях исполнения договора;
  
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
  
  

3.5. Организация обеспечивает безопасное хранение персональных данных,
в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде при непосредственном участии человека и на бумажных носителях. Обработка персональных данных не автоматизирована и ведется Организацией при непосредственном участии человека (сотрудника Организации).

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.

04. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

• запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью лица, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
  не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
• предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
  
• не запрашивать информацию о состоянии здоровья субъекта персональных данных;
• передавать персональные данные субъекта персональных данных его представителям в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

05. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:

• Генеральный директор АЕБ;
  
• лицо(а), назначенное приказом Генерального директора АЕБ;
  
• работники, взаимодействующие с определенным субъектом персональных данных;
  
• работники финансового отдела;
  
• руководители структурных подразделений по направлениям их деятельности.
  

5.2. Субъекты персональных данных в целях обеспечения защиты персональных данных имеют следующие права:

• на ознакомление с настоящим Положением;
  
• на полную информацию об их персональных данных и обработке этих данных;
  
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
  
• на определение своих представителей для защиты своих персональных данных;
  
• на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". При отказе Организации исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия;
  
• на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  
• на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите персональных данных.
  
  

5.3. Копировать и делать выписки персональных данных разрешается исключительно уполномоченным лицам АЕБ в служебных целях.

06. Порядок получения согласия субъекта на обработку персональных данных

6.1. При начале взаимодействия с субъектами персональных данных, включая получение информации субъекта персональных данных впервые, ответственный сотрудник АЕБ обязан получить предварительное письменное согласие субъекта персональных данных в письменной форме (далее – «согласие»), в соответствии с образцом, приведенным в Приложении № 1 к настоящему Положению.

6.2. В том числе согласия должны быть получены:

• у индивидуальных участников мероприятий АЕБ – физических-лиц, самостоятельно (от своего имени) участвующих в мероприятии;
  
• у любых физических лиц фото- и видеоизображения которых получаются и/или используются АЕБ, при этом изображение такого лица в данных материалах должно быть основным объектом;
  
• у иных физических лиц, предоставляющих персональные данные АЕБ, включая родственников сотрудников АЕБ.
  
  

6.3. Согласие заполняется, распечатывается ответственным сотрудником АЕБ и подписывается субъектом персональных данных в одном экземпляре, после чего передается уполномоченному сотруднику АЕБ и хранится в порядке, установленном настоящим Положением.

6.4. В формы договоров АЕБ с физическими лицами в обязательном порядке вносится следующий пункт:

«В соответствии с настоящим договором [АЕБ] имеет право на получение, передачу, обработку, использование и хранение полученных персональных данных физического(их) лица(ц). Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме».

6.5. В формы договоров АЕБ с контрагентами вносится следующий пункт:

«В соответствии с настоящим договором Стороны обязуются соблюдать порядок получения, передачи, обработки, использования и хранения персональных данных в соответствии с применимым законодательством и обязуются получить надлежащие согласия физических лиц на обработку их персональных данных.».

6.6. В онлайн-системы АЕБ в случае получения персональных данных в обязательном порядке вносится следующая оговорка:

«Я подтверждаю, что ознакомился(ась) с Порядком работы с персональными данными ООО «АЕБ Бизнес» и согласен(на) на обработку и передачу моих персональных данных, в том числе, без ограничений, свободно, своей волей и в своем интересе даю согласие на обработку, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение и иные действия в отношении моих персональных данных внесенных на protectcrop.ru. Настоящее согласие действует со дня его предоставления до даты отзыва в письменной форме».

07. Ответственность за нарушение норм, регулирующих обработку персональных данных

7.1. Работники АЕБ, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. Возмещение ущерба, причиненного неправомерным использованием информации, содержащей персональные данные, производится в соответствии с законодательством РФ.

Подписанный вариант с политикой обработки данных доступен по ссылке.