Политика конфиденциальности

Оператор: ООО «Джейсон энд Партнерс Консалтинг» (ОГРН 1097746024276, ИНН 7715745036).

Юридический адрес: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2.

Контактное лицо: заместитель генерального директора ООО «Джейсон энд Партнерс Консалтинг» Столповский М.М, почтовый адрес: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2, тел.: +7 495 625 72 45.

Политика обработки персональных данных ООО «Джейсон энд Партнерс Консалтинг» (публичная) размещена в свободном доступе, ознакомиться с Политикой можно на сайте: https://json.tv, а также в офисе по адресу: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2. Политика обработки персональных данных ООО «Джейсон энд Партнерс Консалтинг» (публичная) размещена в свободном доступе, ознакомиться с Политикой можно на сайте: https://json.tv, а также в офисе по адресу: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2.

1. Общие положения

1.1. Политика обработки персональных данных в ООО «Джейсон энд Партнерс Консалтинг» (далее соответственно – Политика, Компания) разработана в рамках требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и определяет политику Компании в отношении обработки персональных данных, включая:

1.1.1. цели обработки персональных данных;

1.1.2. правовые основания обработки персональных данных;

1.1.3. состав и категории персональных данных, подлежащих обработке;

1.1.4. категории субъектов персональных данных;

1.1.5. действия (операции), совершаемые с персональными данными;

1.1.6. обработку запросов субъектов персональных данных.

1.2. При обработке персональных данных Компания исходит из необходимости обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации.

1.3. Соблюдение Политики является главным условием обработки персональных данных Компании и обязательно для всех работников Компании.

1.4. Политика регулирует отношения между Компанией и иными лицами, возникающие в связи с обработкой их персональных данных Компанией.

1.5. Компания принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.

2. Термины и определения

2.1. Термины и определения, используемые в Политике, применяются в значении, указанном ниже.

2.1.1. персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

2.1.2. субъекты ПДн – физические лица;

2.1.3. работник – лицо, состоящее в трудовых отношениях с Компанией;

2.1.4. бывший работник – лицо, ранее имевшее трудовые отношения с Компанией;

2.1.5. контрагент – совершеннолетнее лицо, заключившее с Компанией гражданско-правовой договор, либо намеревающийся заключить такой договор, а также лицо, являющееся представителем юридического лица, заключившего или намеревающегося заключить гражданско-правовой договор с Компанией;

2.1.6. обработка персональных данных (далее – обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.7. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.1.8. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.9. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1.10. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.11. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.1.12. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.1.13. информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.1.14. законодательство о ПДн – Конституция Российской Федерации, ФЗ «О персональных данных» и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой ПДн. а также лицо, являющееся представителем юридического лица, заключившего или намеревающегося заключить гражданско-правовой договор с Компанией;

3. Условия обработки персональных данных

3.1. Обработка персональных данных осуществляется Компанией исключительно для достижения целей, установленных настоящей Политикой. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

3.2. Для каждой цели обработки персональных данных устанавливаются соответствующие:

3.2.1. категории и перечень обрабатываемых персональных данных;

3.2.2. категории субъектов, персональные данные которых могут обрабатываться;

3.2.3. способы, сроки обработки и хранения персональных данных;

3.2.4. порядок уничтожения персональных данных.

3.3. Полный список обрабатываемых Оператором персональных данных с указанием категории субъектов, персональные данные которых обрабатываются, категории персональных данных, перечня действий с персональными данными и правовых оснований обработки персональных данных опубликован на официальном сайте в сети «Интернет» Роскомнадзора в реестре операторов. с указанием категории субъектов, персональные данные которых обрабатываются, категории персональных данных, перечня действий с персональными данными и правовых оснований обработки персональных данных опубликован на официальном сайте в сети «Интернет» Роскомнадзора в реестре операторов.

3.4. Для каждой цели обработки персональных данных в отношении каждой категории субъектов персональных данных Приложением к Политике устанавливается перечень обрабатываемых персональных данных в следующих категориях:

3.4.1. специальные;

3.4.2. биометрические;

3.4.3. другие персональные данные.

3.5. Перечень обрабатываемых персональных данных устанавливается в отношении следующих основных категорий субъектов персональных данных: в отношении следующих основных категорий субъектов персональных данных:

3.5.1. Соискатели на вакантные должности;

3.5.2. Работники;

3.5.3. Контрагенты;

3.5.4. Клиенты;

3.5.5. Потенциальные клиенты (обратившиеся с запросом на предоставление услуг);

3.5.6. Интервьюируемые респонденты.

3.6. Приложением к Политике могут быть установлены дополнительные категории субъектов, обработка персональных данных которых требуется для достижения соответствующей цели обработки.

3.7. Для каждой цели обработки персональных данных могут быть применены следующие способы обработки персональных данных:

3.7.1. автоматизированная обработка персональных данных в информационной системе персональных данных Компании с использованием средств вычислительной техники;

3.7.2. неавтоматизированная обработка персональных данных без использования средств вычислительной техники с фиксацией персональных данных на материальных носителях.

3.8. Сроки обработки и хранения персональных данных устанавливаются исходя из условий правовых оснований обработки персональных данных с учетом необходимости достижения целей обработки, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено действующим законодательством о ПДн.

3.9. Уничтожение персональных данных производится в следующих случаях:

3.9.1. при достижении целей обработки персональных данных или в случае утраты необходимости в достижении целей обработки персональных данных, если иное не установлено правилами Политики и требованиями действующего законодательства о ПДн;

3.9.2. при истечении срока действия правовых оснований обработки персональных данных;

3.9.3. при выявлении факта обработки персональных данных, не соответствующей требованиям Политики и/или требованиям действующего законодательства о ПДн;

3.9.4. при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено требованиями действующего законодательства о ПДн;

3.9.5. при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не предусмотрено требованиями действующего законодательства о ПДн; о прекращении обработки персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не предусмотрено требованиями действующего законодательства о ПДн;

3.9.6. при получении от надзорного органа решения об уничтожении ПДн, в том числе решения о запрете или ограничении трансграничной передачи ПДн, в том числе решения о запрете или ограничении трансграничной передачи ПДн.

3.10. Уничтожение персональных данных производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационных системах и/или в результате которых уничтожаются материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в информационной системе персональных данных.

4. Правовые основания обработки персональных данных

4.1. Правовые основания обработки персональных данных субъектов персональных данных устанавливаются с учетом определенных ФЗ «О персональных данных» условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Компании являются:

4.1.1. согласие субъекта персональных данных на обработку его персональных данных с учетом требований, предусмотренных законодательством о ПДн для соответствующей категории персональных данных;

4.1.2. нормативные правовые акты, в соответствии с которыми Компания осуществляет обработку персональных данных в рамках своей деятельности;

4.1.3. судебные акты, акты другого органа или должностного лица, подлежащие исполнению Компанией в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;

4.1.4. локальные нормативные акты Компании, устанавливающие требования к обработке персональных данных в случае, если такая обработка не противоречит требованиям законодательства о ПДн и Политики, в том числе для опубликования или обязательного раскрытия персональных данных в соответствии с действующим законодательством.

5. Участники системы управления процессом обработки и защиты персональных данных

5.1. В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных законодательством Российской Федерации для операторов персональных данных, в Компании определены основные участники указанной системы управления и их функции.

5.2. Руководитель Компании:

5.2.1. определяет, рассматривает и утверждает Политику;

5.2.2. назначает должностное лицо, ответственное за организацию обработки и защиту персональных данных в Компании.

5.3. Должностное лицо, ответственное за организацию обработки персональных данных в Компании:

5.3.1. осуществляет управление процессом организации обработки и защиты персональных данных в Компании в соответствии с требованиями законодательства Российской Федерации, Политики и иных локальных нормативных актов Компании по вопросам обработки и защиты персональных данных;

5.3.2. инициирует разработку и актуализацию локальных нормативных актов Компании по вопросам обработки и защиты персональных данных;

5.3.3. осуществляет контроль за соблюдением законодательства Российской Федерации, Политики и иных локальных нормативных актов Компании по вопросам обработки и защиты персональных данных;

5.2.1. определяет, рассматривает и утверждает Политику;

5.2.2. назначает должностное лицо, ответственное за организацию обработки и защиту персональных данных в Компании.

5.3. Должностное лицо, ответственное за организацию обработки персональных данных в Компании:

5.3.1. осуществляет управление процессом организации обработки и защиты персональных данных в Компании в соответствии с требованиями законодательства Российской Федерации, Политики и иных локальных нормативных актов Компании по вопросам обработки и защиты персональных данных; и защиты персональных данных в Компании в соответствии с требованиями законодательства Российской Федерации, Политики и иных локальных нормативных актов Компании по вопросам обработки и защиты персональных данных;

5.3.2. инициирует разработку и актуализацию локальных нормативных актов Компании по вопросам обработки и защиты персональных данных; и защиты персональных данных в Компании в соответствии с требованиями законодательства Российской Федерации, Политики и иных локальных нормативных актов Компании по вопросам обработки и защиты персональных данных;

5.3.3. обеспечивает разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;

5.3.4. осуществляет организацию и оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

5.3.5. осуществляет методическое обеспечение процессов обработки персональных данных, зарегистрированных в реестре процессов обработки ПДн, в части разработки правил, требований и рекомендаций выполнения операций сбора, обработки и защиты персональных данных;

5.3.6. организует контроль соответствия обработки персональных данных положениям законодательства Российской Федерации, локальных нормативных актов Компании;

5.3.7 осуществляет взаимодействие с надзорным органом и иными компетентными органами (государственными органами, государственными учреждениями, государственными внебюджетными фондами, муниципальными органами) по вопросам обработки и защиты персональных данных в Компании, в том числе реагирования на запросы таких органов;

5.3.8. обеспечивает уведомление надзорного органа об изменении сведений об обработке персональных данных, а также о намерении Компании осуществлять трансграничную передачу персональных данных в целях обеспечения защиты прав субъектов персональных данных;

5.3.9. осуществляет уведомление надзорного органа об указанных в ФЗ «О персональных данных» обстоятельствах в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;

5.3.10. осуществляет внутренний контроль за соблюдением Компанией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

5.3.11. доводит до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

5.3.12. организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей.

6. Организация процесса управления обработкой персональных данных

6.1. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов субъектов персональных данных в рамках утвержденных процессов и/или локальных нормативных актов Компании, определяющих, в частности:

6.2.1. правовые основания (условия) и источники сбора (получения) персональных данных;

6.2.2. цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных;

6.2.3. сроки обработки и хранения персональных данных;

6.2.4. обязанности владельцев функциональных процессов в структурном подразделении, этапы/операции (действия) и способы обработки персональных данных;

6.2.5. порядок доступа субъектов ПДн Компании к персональным данным и их обработке;

6.2.6. порядок передачи персональных данных третьим лицам/ контрагентам Компании/иным лицам, порядок распространения персональных данных в отношении неопределенного круга лиц;

6.2.7. порядок уточнения (обновления, изменения) персональных данных;

6.2.8. порядок архивного хранения персональных данных;

6.2.9. порядок прекращения обработки и уничтожения персональных данных или обеспечения уничтожения, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании.

6.3. В части обработки персональных данных работников Компания руководствуется, в том числе, требованиями Трудового кодекса Российской Федерации.

6.4. При обработке персональных данных в Компании обеспечивается своевременное уточнение (обновление, изменение) персональных данных субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:

6.5.1. обращения в Компанию субъекта персональных данных, его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;

6.5.2. установления Компанией расхождений между ранее полученными персональными данными субъекта персональных данных и персональными данными, предоставляемыми субъектом персональных данных, его представителем, (обладающим полномочиями на представление интересов субъекта персональных данных), надзорным органом наряду с подтверждающими документами.

6.6. Передача персональных данных государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных законодательством Российской Федерации.

6.7. Трансграничная передача персональных данных осуществляется с учетом условий и ограничений, установленных ФЗ «О персональных данных».

6.8. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при условии наличия оснований (условий обработки персональных данных), предусмотренных ФЗ «О персональных данных».

6.9. В случае отсутствия у Компании правовых оснований на обработку персональных данных (условий обработки персональных данных) Компания в порядке, установленном ФЗ «О персональных данных», производит уничтожение персональных данных в порядке, предусмотренном пунктом 3.10 Политики.

7. Меры обеспечения конфиденциальности и безопасности персональных данных

7.1. Для обеспечения конфиденциальности и безопасности персональных данных субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с ФЗ «О персональных данных» Компанией принимаются необходимые правовые, организационные и технические меры:

7.1.1. определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн (при наличии), и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;

7.1.2. для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;

7.1.3. проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);

7.1.4. обеспечиваются пропускной режим и управление доступомк персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;

7.1.5. обеспечиваются регистрация и учет всех действий, совершаемыхс персональными данными в ИСПДн;

7.1.6. осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;

7.1.7. определяется и при необходимости актуализируется перечень работников Компании, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем работникам Компании, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;

7.1.8. обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;

7.1.9. внедряются подсистемы аудита ИСПДн, которые осуществляют регистрацию и учет действий, совершаемых с персональными данными;

7.1.10. обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПДн Компании внутри защищенного периметра, расположенного в пределах контролируемой зоны;

7.1.11. реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;

7.1.12. обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.1.13. осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;

7.1.14. осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;

7.1.15. проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;

7.1.16. реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

7.2. Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных».

8. Права и обязанности Компании, права субъекта персональных данных

8.1. Компания обязана:

8.1.1. при обработке персональных данных соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;

8.1.2. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных (граждан Российской Федерации) с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации;

8.1.3. при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети «Интернет» документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

8.1.4. в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства Российской Федерации и субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;

8.1.5. в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную ФЗ «О персональных данных», с учетом установленных законодательством Российской Федерации исключений;

8.1.6. выполнять обязанности, предусмотренные для операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от субъекта персональных данных и/или его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), и/или от надзорного органа;

8.1.7. принимать меры, направленные на обеспечение выполнения требований ФЗ «О персональных данных»;

8.1.8. принимать меры по обеспечению безопасности персональных данных при их обработке;

8.1.9. выполнять обязанности по устранению нарушений законодательства Российской Федерации, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных законодательством Российской Федерации;

8.1.10. выполнять обязанности, установленные ФЗ «О персональных данных» для операторов персональных данных, в случае получения от субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;

8.1.11. взаимодействовать с надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных ФЗ «О персональных данных»;

8.1.12. выполнять иные обязанности, предусмотренные законодательством РФ.

8.2. Компания имеет право:

8.2.1. обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;

8.2.2. осуществлять передачу персональных данных субъектов персональных данных третьим лицам/контрагентам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных субъектов персональных данных третьим лицам/контрагентам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований ФЗ «О персональных данных»;

8.2.3. отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных ФЗ «О персональных данных»;

8.2.4. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;

8.2.5. с учетом требований ФЗ «О персональных данных» определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;

8.2.6. реализовывать иные права, предусмотренные законодательством Российской Федерации.

8.3. Субъект персональных данных или его представитель имеет право на реализацию прав, предусмотренных ФЗ «О персональных данных».

- право на доступ к своим персональным данным;

- право на уточнение (обновление, изменение) своих персональных данных;

- право на блокирование или уничтожение своих персональных данных в случаях, предусмотренных законом;

- право на отзыв согласия на обработку персональных данных;

- право на прекращение обработки персональных данных;

- право на получение информации, предусмотренной ч. 7 ст. 14, ч. 1 ст. 18.1, ст.ст. 20.1, 21 ФЗ «О персональных данных»;

- право на обжалование действий или бездействия Оператора в уполномоченный орган (Роскомнадзор) или в суд;

- иные права, предусмотренные законодательством Российской Федерации.

8.3.1. Порядок реализации прав субъектом ПДн в отношении обработки его персональных данных Оператором (ООО «Джейсон энд Партнерс Консалтинг»).

8.3.2. Подача запроса:

8.3.3. Для реализации своих прав субъект ПДн (или его представитель) направляет Оператору письменный запрос (заявление) одним из следующих способов:

- почтовым отправлением с уведомлением о вручении по адресу: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2 (с пометкой «Персональные данные»);

- на адрес электронной почты ответственного лица: m.stolpovskiy@json.ru (с пометкой «Персональные данные»);

- лично в офисе Оператора по адресу: 101000, г. Москва, вн. тер. г. муниципальный округ Басманный, пер Армянский, д. 11а/2, стр. 1а, этаж 2, помещ. 2, обратившись к ответственному лицу – заместителю генерального директора ООО «Джейсон энд Партнерс Консалтинг» Столповскому М.М:

- через Единый портал государственных и муниципальных услуг (функций) (gosuslugi.ru), если Оператор подключен к соответствующему сервису (при наличии технической возможности).

8.3.4. Запрос должен содержать:

- фамилию, имя, отчество субъекта ПДн;

- реквизиты документа, удостоверяющего личность субъекта ПДн (или его представителя);

- сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (например, номер договора, период трудоустройства, дата обращения как клиента и т.д. – по возможности для ускорения поиска данных);

- суть требования (например: «Прошу предоставить доступ к моим персональным данным», «Прошу уточнить следующие персональные данные...», «Отзываю согласие на обработку персональных данных от [дата]», «Требую прекратить обработку моих персональных данных» и т.п.);

- перечень запрашиваемых данных или конкретные данные для изменения/уточнения (если применимо);

- почтовый адрес или адрес электронной почты для направления ответа;

- дату и подпись субъекта ПДн (для письменного или личного обращения).

8.3.5. Для представителя субъекта ПДн: Запрос должен быть дополнен:

- документом, подтверждающим полномочия представителя (нотариально заверенная доверенность, документ, подтверждающий законное представительство – свидетельство о рождении, решение суда и т.д.);

- реквизитами документа, удостоверяющего личность представителя.

8.4. Идентификация субъекта ПДн:

8.4.1. Оператор обязан убедиться, что запрос направлен субъектом ПДн или его уполномоченным представителем.

8.4.2. Идентификация производится на основании сведений, содержащихся в запросе (ФИО, реквизиты документа, удостоверяющего личность), а также путем сверки представленных данных с информацией, имеющейся у Оператора.

8.4.3. В случае сомнений в личности обратившегося лица или полномочиях представителя, Оператор вправе запросить дополнительные документы для идентификации.

8.4.4. Рассмотрение запроса и сроки ответа:

8.4.5. Оператор рассматривает запрос субъекта ПДн в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

8.4.6. В исключительных случаях (сложность запроса, большое количество запрашиваемых данных) срок рассмотрения может быть продлен Оператором не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.4.7. Ответ на запрос направляется субъекту ПДн:

- по почтовому адресу, указанному в запросе, – заказным письмом с уведомлением о вручении;

- по адресу электронной почты, указанному в запросе (при наличии возможности и с учетом требований безопасности);

- лично в руки под роспись (при обращении лично).

8.5. Содержание ответа:

8.5.1. При предоставлении доступа: Ответ содержит запрашиваемые персональные данные, сведения об источниках их получения, сроках обработки, целях и правовых основаниях обработки, сведениях о лицах, которым могут быть раскрыты данные (с учетом ограничений закона), или копии документов, содержащих ПДн.

8.5.2. При уточнении/блокировании/уничтожении: Ответ подтверждает факт выполнения соответствующего действия.

8.5.3. При отзыве согласия/требовании прекратить обработку: Ответ информирует о мерах, принятых в связи с отзывом/требованием, с учетом законных оснований, позволяющих Оператору продолжить обработку без согласия (если такие основания есть).

8.5.4. В случае отказа: Ответ содержит мотивированное обоснование отказа со ссылкой на конкретные положения ФЗ «О персональных данных» или иных федеральных законов, служащих основанием для отказа. Отказ должен быть оформлен в письменной форме.

8.6. Основания для отказа в удовлетворении запроса:

8.6.1. Оператор вправе отказать в удовлетворении запроса в случаях, предусмотренных ФЗ «О персональных данных» и иными федеральными законами, в частности:

- если запрос не позволяет идентифицировать субъекта ПДн;

- если запрашиваемая информация не относится к ПДн субъекта;

- если предоставление информации нарушает права и законные интересы третьих лиц;

- если предоставление информации может нанести ущерб национальной безопасности, обороноспособности, правопорядку, здоровью граждан;

- если доступ субъекта к его ПДн ограничен в соответствии с федеральными законами (например, в рамках оперативно-розыскной деятельности, в случаях, предусмотренных УПК РФ);

- если запрос неоднократно повторяется без новых правовых оснований и носит злоупотребление правом характер.

8.6.2. Отказ должен быть мотивирован и обоснован.

8.7. Бесплатность реализации прав:

8.7.1. Реализация прав субъекта ПДн осуществляется Оператором бесплатно.

Приложение к Политике об обработке персональных данных ООО «Джейсон энд Партнерс Консалтинг» (публичная)

Перечень целей обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения

1. Цель обработки персональных данных: «Привлечение и отбор кандидатов на заключение трудовых договоров и договоров гражданско-правового характера с Компанией»

Цель обработки персональных данных охватывает процессы подбора и оценки кандидатов в рамках трудоустройства и заключения договоров гражданско-правового характера.

Достижением цели следует считать заключение трудового договора с кандидатом, либо отказ в заключении трудового договора по итогам оценки соответствия вакантной должности, либо заключение договора гражданско-правового характера.

1.1. В отношении кандидатов – лиц, имеющих намерение заключить с Компанией трудовой или гражданско-правовой договор, обработке подлежат следующие персональные данные:

Категория «иные персональные данные»: фамилия, имя, отчество, год рождения, место рождения, образование, профессия, электронная почта, номер мобильного телефона.

Категория «Биометрические персональные данные»: не обрабатываются.

1.2. Применяемые способы обработки персональных данных: смешанная (с передачей по внутренней сети юридического лица и передачей по сети «Интернет»).

1.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 3.8 Политики.

1.4. Порядок уничтожения персональных данных: в соответствии с пунктом 3.9 Политики.

2. Цель обработки персональных данных: «Организация, обеспечение и регулирование трудовых и непосредственно связанных с ними отношений»

Цель обработки персональных данных охватывает процессы трудоустройства, выполнения трудовой функции и все непосредственно связанные с этим отношения.

Достижением цели следует считать окончание установленного законодательством срока хранения личного дела работника.

2.1. В отношении работников, обработке подлежат следующие персональные данные:

Категория «иные персональные данные»: фамилия, имя, отчество, год рождения, место рождения, образование, профессия, электронная почта, номер мобильного телефона.

Категория «Биометрические персональные данные»: не обрабатываются.

2.2. Применяемые способы обработки персональных данных: смешанная (с передачей по внутренней сети юридического лица и передачей по сети «Интернет»).

2.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 3.8 Политики.

2.4. Порядок уничтожения персональных данных: в соответствии с пунктом 3.9 Политики.

2.2. В отношении бывших работников, обработке подлежат следующие персональные данные:

Категория «иные персональные данные»: фамилия, имя, отчество, год рождения, место рождения, образование, профессия, электронная почта, номер мобильного телефона.

Категория «Биометрические персональные данные»: не обрабатываются.

2.2.1. Применяемые способы обработки персональных данных: смешанная (с передачей по внутренней сети юридического лица и передачей по сети «Интернет»).

2.2.2. Сроки обработки и хранения персональных данных: в соответствии с пунктом 3.8 Политики.

2.2.3. Порядок уничтожения персональных данных: в соответствии с пунктом 3.9 Политики.

3. Цель обработки персональных данных: контрагентов, клиентов, потенциальных клиентов (обратившиеся с запросом на предоставление услуг), интервьюируемых респондентов:

Цель обработки персональных данных в т.ч. охватывает анализ агрегированных количественных данных по группам населения, использующих различные услуги и продукты по темам проводимых исследований рынка, для анализа технологических тенденций, факторов влияния и барьеров на изучаемых рынках, применительно к исследованию конъюнктуры рынка.

Категория «иные персональные данные»: фамилия, имя, отчество, год рождения, место рождения, образование, профессия, электронная почта, номер мобильного телефона.

Категория «Биометрические персональные данные»: не обрабатываются.

3.2. Применяемые способы обработки песональных данных: смешанная (с передачей по внутренней сети юридического лица и передачей по сети «Интернет»).

3.3. Сроки обработки и хранения персональных данных: в соответствии с пунктом 3.8 Политики.

3.4. Порядок уничтожения персональных данных: в соответствии с пунктом 3.9 Политики.