1. Общие положения
1.1. Настоящая Политика (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности на сайте africaepo.ru (далее – Сайт). Целями Политики являются обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также четкое и неукоснительное соблюдение требований законодательства Российской Федерации и международных договоров РФ в области персональных данных.
1.2. Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», а также иными действующими нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности (далее – законодательство), а также с учетом положений Рекомендаций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
1.3. В Политике используются следующие термины и определения:
автоматизированная обработка персональных данных
обработка персональных данных с помощью средств вычислительной техники
биометрические персональные данные
сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных
блокирование персональных данных
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
доступ к персональным данным
ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Сайтом, при условии сохранения конфиденциальности этих сведений
информационная система персональных данных
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
конфиденциальность персональных данных
обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством
обезличивание персональных данных
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
обработка персональных данных
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
оператор
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в Политике под оператором понимается Общество, если иное не указано специально
персональные данные
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
предоставление персональных данных
действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
распространение персональных данных
действия, направленные на раскрытие персональных данных неопределенному кругу лиц
субъект персональных данных
физическое лицо, к которому относятся персональные данные
трансграничная передача персональных данных
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
уничтожение персональных данных
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
2. Категории субъектов персональных данных, объем и категории обрабатываемых Обществом персональных данных
2.1.Сайт является оператором в отношении персональных данных следующих категорий физических лиц:
Категории субъектов персональных данных: Категории обрабатываемых Сайтом персональных данных
Соискатели вакантных должностей Сайта (кандидаты для приема на работу Обществом) (Соискатели): ФИО, паспортные данные и адрес регистрации для оформления согласия на обработку персональных данных, резюме с указанием предыдущего опыта работы
Работники Общества, с которыми у Общества заключены или были заключены трудовые договоры, включая бывших работников, с которыми трудовые договоры расторгнуты (Работники): ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, пол, адрес фактического места проживания, номер телефона домашний и мобильный, данные для карточки Т-2: семейное положение, опыт работы в предыдущих компаниях, данные о доходах сотрудников с прежних мест работы (справка 182-Н), уровень владения языками, отношение к воинской обязанности, состав семьи, сведения об образовании, номер телефона, почта эл., адрес фактического проживания, справки 2-НДФЛ и 182 – для предоставления в бухгалтерию, трудовая книжка, данные загранпаспорта, данные о наличии прививки от коронавируса (сертификаты, справки, QR-коды) либо о медицинском отводе (справки от врача), фото для внутреннего использования (делается в первый день работы), фото для размещения информации на корпоративных сайтах.
Близкие родственники и супруги Работников Общества, обработка персональных данных которых предусмотрена законодательством, а также выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета (Родственники работников): ФИО, дата рождения, реквизиты документа, удостоверяющего личность, адрес места жительства, адрес места пребывания, номер контактного телефона, индивидуальные суммы страхового возмещения.
Подрядчики (физические лица), которые оказывают услуги для Общества и участников выставок (Контрагенты): ФИО, реквизиты документа, удостоверяющего личность, СНИЛС, банковские реквизиты, номер контактного телефона, адрес электронной почты.
Представители (физические лица) контрагентов и клиентов Общества, с которыми у Общества существуют договорные отношения или с которыми оно намерено вступить в договорные отношения, в том числе работники, владельцы, бенефициары, представители, действующие на основании доверенности и иные представители контрагентов (Представители контрагентов и клиентов Общества): ФИО, место работы, номер паспорта, номер водительского удостоверения, наименование должности, наименование структурного подразделения, наименование текущего места трудоустройства, адрес места регистрации, время и дата посещения помещений, зданий и территории, данные свидетельства о регистрации транспортного средства; номер контактного телефона и адрес электронной почты.
Лица, прошедшие регистрацию на платформе ITE Connect (Платформа), а также лица, не прошедшие регистрацию, но использующие Платформу, доступную через сайт, мобильную версию сайта, приложения и иные ресурсы (Пользователи Платформы)Адреса размещения Платформы:ite-connect.comdairytech-connect.comaquatherm-connect.comairvent-connect.committ-connect.commosbuild-connect.comtransrussia-connect.comexpoelectronica-connect.comsecurika-connect.comanalitika-connect.comminingworld-connect.comrosupack-connect.comworldfood-connect.comweldex-connect.comyugagro-connect.compharmtech-connect.comwoodex-connect.comПосетители веб-сайтов Общества в сети Интернет (Пользователи веб-сайтов): ФИО, адрес электронной почты, номер телефона, пол, возраст, город и страна места нахождения, адрес места жительства, гражданство, фото и видео изображение и иные данные, предоставляемые Пользователями веб-сайтов и Пользователями Платформы при регистрации, заполнении учетных записей (профилей) на веб-сайтах, Платформе; данные, которые автоматически передаются Обществу в процессе использования веб-сайтов, Платформы с помощью установленного на устройствах Пользователей веб-сайтов и Пользователей Платформы программного обеспечения (в т.ч. вид операционной системы, IP-адрес хоста, посещаемые разделы веб-сайтов, cookies файлы); данные, полученные в результате действий Пользователей веб-сайтов и Пользователей Платформы на веб-сайтах, Платформе.
Участники выставок, проводимых Обществом, и их работники, а также участники, которые направили заявку, но в последующем отказались от участия (Участники мероприятий): ФИО, должность, телефон, адрес электронной почты, место работы, город и страна местонахождения; посещенные страниц сайтов, действия на сайтах.
Посетители выставок, проводимых Обществом (Посетители выставок): ФИО, место работы, номер паспорта, наименование должности, наименование структурного подразделения, наименование текущего места трудоустройства, идентификатор пропуска (ID-карты), адрес места регистрации.
Посетители офиса Общества (Посетители офиса): ФИО, данные свидетельства о регистрации транспортного средства
2.2. Полученные Обществом иные данные в объеме, необходимом и достаточном для их отнесения в соответствии с действующим законодательством Российской Федерации к персональным данным, обрабатываются Обществом как персональные данные на условиях настоящей Политики.
3. Цели обработки персональных данных
3.1. Общество осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей.
3.2. Общество обрабатывает персональные данные с целью осуществления деятельности, определенной Уставом и иными локальными актами Общества, для исполнения Обществом обязанностей, возложенных на него действующим законодательством, для исполнения заключенных договоров, а также в иных законных целях. Общество принимает все необходимые меры по выполнению требований действующего законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных Обществом целей.
3.3. Целями обработки Обществом персональных данных в отношении отдельных категорий субъектов персональных данных являются, в частности:
3.3.1. Соискатели: проведение собеседования и принятие решения о возможности замещения вакантных должностей, наиболее полно соответствующими требованиям Общества, а также включение в кадровый резерв;
3.3.2. Работники:

• соблюдение трудового законодательства, включая учет труда и его оплаты, принятие управленческих и кадровых решений в отношении сотрудников, контроль над трудовой дисциплиной;
• осуществление Обществом расчета и выплаты сотрудникам причитающейся им заработной платы, компенсаций и премий, осуществление пенсионных и налоговых отчислений;
• выполнение Обществом принятых на себя социальных обязательств в отношении сотрудников и их родственников в виде добровольного медицинского страхования, страхования жизни;
• оформление командировочных документов для сотрудников Общества, а также бронирования и приобретения гостиничных мест и транспортных билетов в интересах сотрудников Общества, направляемых в командировки;
• организация обучения сотрудников Общества;
• обеспечение личной безопасности сотрудников, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Общества, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Общества;
• предоставление Обществом сотрудникам сервиса корпоративной мобильной связи, а также обеспечение эффективного управления и контроля затрат на предоставление данного сервиса;
• выполнение Обществом требований трудового законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками при исполнении ими своих трудовых функций, а также в иных случаях, предусмотренных трудовым законодательством.

3.3.3. Родственники работников:

• осуществление Обществом расчета и выплаты сотрудникам причитающейся им заработной платы, компенсаций и премий, осуществление пенсионных и налоговых отчислений;
• выполнение Обществом принятых на себя социальных обязательств в отношении сотрудников и их родственников в виде добровольного медицинского страхования, страхования жизни.

3.3.4. Контрагенты (физические лица):

• поставка товаров, выполнение работ и оказание услуг в пользу Общества со стороны контрагентов;
• предоставление временного персонала для работы на выставках.

3.3.5. Представители контрагентов и клиентов Общества (юридических лиц):

• поставка товаров, выполнение работ и оказание услуг в пользу Общества со стороны контрагентов;
• организация и проведение выставок и мероприятий деловой программы в рамках выставок (конкурсы, экскурсии, стажировки и пр.);
• обеспечение личной безопасности сотрудников, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Общества, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Общества.

3.3.6. Пользователи веб-сайтов и Пользователи Платформы:

• регистрация и авторизация на веб-сайтах, Платформе;
• функционирование веб-сайтов, Платформы;
• предоставление информации о проводимых мероприятиях;
• обеспечение взаимодействия Участников мероприятий и Посетителей выставок;
• регистрация на мероприятия;
• сбор обратной связи по итогам проведения выставок;
• аккредитация прессы;
• реклама и продвижение выставок.

3.3.7. Участники мероприятий:

• организация и проведение выставок и мероприятий деловой программы в рамках выставок (конкурсы, экскурсии, стажировки и пр.);
• реклама и продвижение выставок.

3.3.8. Посетители:

• предоставление информации о проводимых мероприятиях;
• регистрация на мероприятия;
• сбор обратной связи по итогам проведения выставок;
• реклама и продвижение выставок.

4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки Обществом персональных данных являются, в частности:
4.1.1. Согласие субъекта персональных данных на обработку его персональных данных. Порядок получения Обществом согласия субъекта персональных данных определен в разделе 5 Политики.
4.1.2. Федеральные законы Российской Федерации и принятые на их основе нормативные правовые акты, в частности:

• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в Российской Федерации»;
• Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.1.3. Устав и иные локальные акты, регламентирующие деятельность Общества.
4.1.4. Локальные акты Общества, регламентирующие вопросы, связанные с обработкой персональных данных.
4.1.5. Договоры, заключаемые между Обществом и субъектами персональных данных. Такими договорами, без ограничения, являются, трудовые договоры с Работниками в соответствии с Трудовым кодексом Российской Федерации, гражданско-правовые договоры с контрагентами, а также договоры, заключаемые с Пользователями веб-сайтов и Пользователями Платформы, в частности Правила пользования Платформой (Правила).

5. Согласие субъекта персональных данных на обработку персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
5.2. Законодательством предусмотрены отдельные случаи необходимости получения согласия субъектов персональных данных именно в письменной форме:
5.2.1. Передача персональных данных Работников третьим лицам, в том числе юридическим лицам, осуществляющим по поручению Общества кадровый и/или бухгалтерский учет; передача персональных данных Работника при бронировании гостиниц и билетов (в случаях, не связанных с выполнением Работником должностных обязанностей); передача персональных данных банкам, открывающим и обслуживающим платежные карты для начисления заработной платы и иных доходов Работника, страховым компаниям, осуществляющим добровольное медицинское и пенсионное страхование, страхование от несчастных случаев Работников за счет Общества как работодателя, организациям, организующим лечение и отдых Работников и членов их семей, полиграфическим предприятиям, занимающимся изготовлением визитных карточек Работников и т.п.
5.2.2. Обработка специальных категорий персональных данных любых субъектов персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в том числе обработка сведений о состоянии здоровья Работника, не связанных с возможностью выполнения Работником трудовой функции и не являющихся необходимыми для достижения целей, предусмотренных пенсионным законодательством.
5.2.3. Обработка биометрических персональных данных (данных, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для этой цели) любых субъектов персональных данных.
5.2.4. Трансграничная передача персональных данных любых субъектов персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (например, США).
5.2.5. Получение персональных данных Работников у третьих лиц, в том числе с целью их проверки, а также в случаях, когда такие данные нельзя получить от самого Работника.
5.2.6. Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных субъекта.
5.2.7. Включение персональных данных субъектов в общедоступные источники персональных данных (например, размещение их на корпоративном портале),
5.3. Распространение персональных данных субъектов (например, размещение данных на корпоративных сайтах) требует получения отдельного согласия на обработку данных в порядке ст. 10.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.4. Типовая форма письменного согласия Работника на обработку его персональных данных Обществом приведена в Приложении №1 к Политике. Типовые формы согласий на распространение персональных данных приведены в Приложении №2 (Работники) и Приложении №3 (эксперты, спикеры мероприятий, иные лица).
5.5. Специально выраженного согласия Работника на обработку его персональных данных по общему правилу не требуется, если обработка необходима для исполнения трудового договора, стороной которого является Работник-субъект персональных данных. Получение согласия Работника в письменной форме требуется для передачи его персональных данных третьим лицам и иных конкретных случаев обработки персональных данных (перечисленных в п. 5.2 Политики выше).
5.6. Специально выраженного согласия Родственников работников Общества не требуется, если обработка их персональных данных осуществляется на основании федеральных законов (для начисления алиментов, оформления социальных выплат, предоставления льгот и гарантий и пр.), выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета, а также если Родственник работника является выгодоприобретателем по договору с Обществом. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Родственников работников на обработку их персональных данных Обществом.
5.7. Специально выраженного согласия Соискателя на обработку его персональных данных по общему правилу не требуется, если Соискатель сам направил Обществу резюме по электронной почте (или любым иным способом) или разместил резюме в доступе неограниченному кругу лиц в сети Интернет. В этих случаях считается, что Соискатель конклюдентными действиями предоставил согласие на обработку его персональных данных Обществом. При этом Общество осуществляет дополнительные мероприятия, направленные на подтверждение факта направления резюме конкретным соискателем (обратная связь посредством электронной почты, звонка и пр.).
5.8. Получение согласия Соискателя в письменной форме необходимо только для конкретных случаев обработки персональных данных, перечисленных в п. 5.2. Политики выше.
5.9. В случае принятия решения об отказе Соискателю в приеме на работу его персональные данные должны быть уничтожены в течение 30 дней с даты принятия такого решения, если иное не предусмотрено соглашением с Соискателем или не указано в его согласии на обработку персональных данных. Для обеспечения возможности обработки резюме кандидатов по истечении указанного срока необходимо оформление согласия кандидата по форме, приведенной в Приложении №4 к настоящей Политике.
5.10. Пользователи веб-сайтов Общества в сети Интернет предоставляют согласие на обработку своих данных путем проставления «галочки» в электронной форме согласия.
5.11. Регистрируясь на Платформе, Пользователи Платформы соглашаются с настоящей Политикой.
5.12. Общество осуществляет обработку персональных данных Пользователей Платформы в целях исполнения Правил, потому в силу положений законодательства о персональных данных согласие Пользователей Платформы на обработку их персональных данных не требуется.
5.13. Общество обрабатывает персональные данные Пользователей веб-сайтов в целях предоставления им доступа к использованию функционала веб-сайтов Общества. Общество обрабатывает персональные данные Пользователей Платформы в целях выполнения своих обязательств по предоставлению им доступа к Платформе и ее функционалу.
5.14. Пользователь соглашается с тем, что при заполнении им регистрационной формы и авторизации на Платформе и/или веб-сайтах проводимых Обществом выставок может использоваться функция автозаполнения, подразумевающая автоматическое заполнение регистрационной формы при вводе одного из реквизитов юридического лица, например, наименования, ОГРН, ИНН (применимо только к юридическому лицу), или Персональной информации Пользователя/представителя Пользователя, например, имени, фамилии, отчества, номера мобильного телефона, адреса электронной почты (применимо только к физическому лицу), если соответствующая информация ранее уже была получена Обществом в соответствии с законодательством Российской Федерации.
5.15. Общество не имеет цели обрабатывать и не обрабатывает специальные категории данных Пользователей веб-сайтов и Пользователей Платформы. Обработку биометрических данных Пользователей, когда такая обработка может осуществляться с целью оказанию услуг таким Пользователям, Общество осуществляет на основании отдельного согласия Пользователя.
5.16. В отношении Контрагентов-физических лиц по общему правилу отсутствует необходимость получения согласия на обработку при наличии договора с Обществом, а также в случае, если субъекты самостоятельно присылают персональные данные Обществу или его Работникам и тем самым совершают конклюдентные действия, подтверждающие их согласие с обработкой таких персональных данных Обществом.
5.17. В случае получения Обществом персональных данных от Контрагентов-юридических лиц на основании заключенного с ними договора ответственность за правомерность и достоверность персональных данных, а также за получение согласия субъектов персональных данных на передачу их персональных данных Обществу несет контрагент, передающий персональные данные, если такая обязанность прямо предусмотрена договором с ним. В этом случае Общество не принимает на себя обязательства по информированию субъектов (их представителей), персональные данные которых ему переданы, о начале обработки персональных данных, поскольку обязанность осуществить соответствующее информирование при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу несет передавший персональные данные контрагент.
5.18. Персональные данные лиц, подписавших договоры с Обществом, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охрана конфиденциальности общедоступных данных и согласие субъектов персональных данных на их обработку не требуется.
5.19. Согласие Посетителей мероприятий и Участников мероприятий на обработку их персональных данных предоставляется в форме конклюдентных действий данных субъектов, направляющих свои персональные данные для участия в мероприятии и тем самым подтверждающих согласие с их обработкой Обществом, а также в форме проставления «галочки» при заполнении анкеты на сайте Общества или в бумажном виде, а также в форме конклюдентных действий путем передачи визитки представителям Общества в рамках участия в мероприятии.
5.20. Согласие Посетителей офиса Общества на обработку его персональных данных предоставляется в форме конклюдентных действий, а именно в форме предоставления документа, удостоверяющего личность, и сообщении сведений, запрашиваемых у него при посещении офисов Общества.
5.21. Согласие Работников на предоставление их персональных данных не требуется при получении Обществом в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.
5.22. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
5.23. В случае поступления запросов от организаций, не обладающих соответствующими полномочиями, Общество обязано получить от Работника согласие на предоставление его персональных данных в любой доказываемой форме и предупредить лиц, получающих персональные данные о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что указанное правило будет (было) соблюдено.
5.24. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с Обществом, стороной которого является субъект персональных данных, может быть отозвано субъектом персональных данных. В этом случае Общество уничтожает такие персональные данные, в отношении которых отзывается согласие на обработку, и обеспечивает их уничтожение контрагентами, которые обрабатывали эти данные по поручению Общества, в течение 30 (тридцати) календарных дней с момента получения отзыва согласия субъекта на обработку его персональных данных.
5.25. В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» Общество имеет право в ряде случаев обрабатывать персональные данные без получения согласия субъектов, например, в случаях осуществления обработки:

• персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
• персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

5.26. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований для обработки персональных данных без согласия, указанных в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных», возлагается на Общество.
6. Порядок и условия обработки персональных данных
Перечень действий и способы обработки персональных данных
6.1. Общество обрабатывает персональные данные путем совершения различных действий, предусмотренных действующим законодательством (сбор, систематизация, накопление, хранение, уточнение (обновление или изменение), использование (в том числе передача), обезличивание, блокирование, уничтожение персональных данных и пр.).
6.2. Общество осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
6.3. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
6.4. Общество принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Общества их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
Условия передачи персональных данных в адрес третьих лиц
6.5. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством или договором с субъектом персональных данных.
6.6. Общество вправе поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора.
6.7. Заключаемый Обществом договор поручения обработки персональных данных в качестве существенного условия предусматривает обязанность лица, осуществляющего обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством, соблюдать конфиденциальность персональных данных и принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством.
6.8. Объем передаваемых другому лицу для обработки персональных данных и способы обработки являются минимально необходимыми для выполнения таким лицом своих обязанностей перед Обществом.
6.9. В договоре поручения Общества определяются перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки. В договоре поручения Общества также устанавливается обязанность лица, осуществляющего обработку персональных данных по поручению, соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», обязанность по запросу Общества в течение срока действия поручения Общества, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Общества требований, установленных в соответствии с законодательством, обязанность обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
6.10. При выполнении поручения Общества на обработку персональных данных лицо, которому такая обработка поручена, вправе использовать для обработки персональных данных свои информационные системы, расположенные на территории Российской Федерации и соответствующие требованиям безопасности, установленным законодательством, что отражается Обществом в заключаемом договоре поручения на обработку персональных данных.
6.11. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
Местоположение баз данных, содержащих персональные данные граждан Российской Федерации
6.12. При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Если у Общества отсутствует информация о гражданстве субъекта персональных данных, Общество исходит из того, что все данные, полученные на территории Российской Федерации, получены от граждан Российской Федерации.
Трансграничная передача
6.13. Общество может осуществлять трансграничную передачу персональных данных в отношении Соискателей и Работников в аффилированные лица, входящие в группу лиц ITE, в частности в ОАЭ (в частности, Rise Expo Limited, ITE Eurasian Exhibitions FZ-LLC). Целями такой трансграничной передачи являются: решение вопросов, связанных с трудоустройством Соискателей, предоставление Работникам доступа к корпоративным информационным системам, проведение аттестации Работников, совместная организация мероприятий и пр. Персональные данные передаются в объеме, необходимом для достижения установленных целей. Обработка персональных данных лицами, получивших их в результате трансграничной передачи, является автоматизированной и включает в себя накопление, хранение, уточнение (обновление или изменение), использование, обезличивание, блокирование и уничтожение. К лицам, осуществляющим обработку персональных данных в результате трансграничной передачи, предъявляются требования по хранению и защите персональных данных, аналогичные установленным в Обществе.
6.14. Общество может предоставлять доступ к персональным данным Пользователей Платформы компании Babylon Software Solution, Inc. (Республика Северная Македония) с целью оказания услуг по технической поддержке работы Платформы.
Специальные категории персональных данных и биометрические персональные данные
6.15. Общество не обрабатывает персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством, или в случаях, когда такая информация размещена в общедоступных источниках, в том числе на внутреннем корпоративном портале Общества.
6.16. Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, установленных законодательством.
Ограничения сроков хранения персональных данных
6.17. Общество осуществляет хранение персональных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных, а также согласием субъекта персональных данных на обработку данных.
6.18. Общие сроки хранения персональных данных и/или условия их уничтожения устанавливаются в Перечне персональных данных, обрабатываемых Обществом, утверждаемом генеральным директором Общества (форма Перечня приведена в Приложении №5 к Политике).
6.19. После достижения целей обработки персональных данных (или в случае утраты необходимости их достижения), при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки персональных данных, а также в случае отзыва согласия субъектом персональных данных или истечения срока обработки персональных данных, установленных согласием на обработку персональных данных, если иное не предусмотрено законодательством или договорами с субъектами персональных данных, Общество уничтожает или обезличивает такие персональные данные либо передает на архивное хранение в случаях, предусмотренных действующим законодательством и в соответствии с установленной процедурой.
7. Конфиденциальность персональных данных
7.1. Работниками Общества, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Обеспечение конфиденциальности не требуется в отношении:

• персональных данных после их обезличивания;
• общедоступных персональных данных.

7.2. Общество вправе разместить свои информационные системы персональных данных в дата-центре или облачной вычислительной инфраструктуре. В случае, если по условиям договора с дата-центром запрещается доступ персонала дата-центра к обрабатываемым данным Общества, Общество не рассматривает данное размещение как поручение дата-центру на обработку персональных данных и не требует согласия субъектов персональных данных. В договоре с дата-центром (провайдером) во всех случаях отражаются требования конфиденциальности и безопасности обрабатываемых персональных данных.

8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки его персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• сведения о применяемых Обществом способах обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании положений законодательства;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством.

8.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченным работником Общества в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Типовая форма ответа на запросы субъекта об обработке его персональных данных приведена в Приложении № 6 к Политике.
8.3. Запрос субъекта об обработке его персональных данных Обществом может быть направлен в электронной или бумажной форме. Электронная форма допускается, если запрос направлен в форме электронного документа, подписанного электронной подписью, или сделан через аккаунт субъекта персональных данных на сайте Общества (использование комбинации логина и пароля в этом случае приравнивается к простой электронной подписи, так как может подтвердить факт направления обращения определенным лицом).
8.4. Запрос субъекта персональных данных должен содержать:

• фамилию, имя и отчество субъекта персональных данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта персональных данных, а также его представителя (если запрос направлен представителем), сведения о дате выдачи указанного документа (документов) и выдавшем его (их) органе (органах);
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер и дата заключения договора с Обществом и (или) иные сведения, копию (скан, фотографию) сообщения в форме письма или в электронной форме, в виде смс-сообщения, полученных от Общества и т.п.), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
• подпись субъекта персональных данных или его представителя.

8.5. Все поступившие запросы субъектов персональных данных или их представителей регистрируются в установленном Обществом порядке, докладываются лицу, ответственному за обработку персональных данных в Обществе, и по его резолюции направляются в соответствующее структурное подразделение Общества для подготовки ответа в кратчайшие сроки.
8.6. В случае, если сведения, указанные в пункте 8.1 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить повторный запрос в целях получения таких сведений и ознакомления со своими персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
8.7. Повторный запрос субъекта персональных данных подлежит удовлетворению ранее предусмотренного пунктом 8.6 срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены субъекту для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос субъекта персональных данных наряду со сведениями, указанными в пункте 8.4, должен содержать обоснование направления повторного запроса.
8.8. В случае получения от субъекта персональных данных запроса в бумажной форме, Общество в целях идентификации субъекта персональных данных вправе запросить у такого лица дополнительные сведения, предоставленные субъектом персональных данных при регистрации на веб-сайте Общества или на Платформе, либо попросить данное лицо направить электронный запрос через соответствующий аккаунт (профиль) субъекта персональных данных на веб-сайте Общества или на Платформе. В случае невыполнения обратившимся лицом указанных дополнительных действий Общество вправе отказать такому лицу в предоставлении запрашиваемых сведений об обработке персональных данных в целях защиты прав третьих лиц и недопущения несанкционированного разглашения персональных данных таких лиц.
8.9. При отсутствии в запросе субъекта сведений, определенных в пункте 8.4 Политики, или несоблюдении сроков и условий, определенных пунктах 8.6 и 8.7 Политики, Общество вправе отказать субъекту в предоставлении запрашиваемых сведений. Форма отказа в удовлетворении запроса субъекта персональных данных приведена в Приложении № 7 к Политике.
8.10. Субъект персональных данных вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также вправе принимать предусмотренные законодательством меры по защите своих прав. Требование субъекта должно быть представлено в письменной или электронной форме с указанием сведений о документе, удостоверяющем личность, или персональных данных, указанных им при предоставлении своих персональных данных Обществу, в том числе при заполнении анкет в ходе опросов или регистрации на сайте, и позволяющих его идентифицировать. Работники Общества оформляют такое требование в виде письменного заявления в произвольной форме.
8.11. Субъект вправе в любой момент отозвать свое согласие на обработку персональных данных Обществом, подав письменное заявление в произвольной форме, содержащее сведения об основном документе, удостоверяющем личность субъекта или те же персональные данные, что были указаны при предоставлении персональных данных Обществу. При этом в случае, если согласие на обработку персональных данных было изначально предоставлено субъектом в электронной форме на веб-сайте Общества или путем принятия Правил на Платформе:

• отзыв такого согласия может быть произведен как в бумажной, так и в электронной форме с использованием аккаунта (профиля) соответствующего Пользователя веб-сайта Общества или Пользователя Платформы;
• в случае получения отзыва в бумажной форме, Общество в целях идентификации субъекта персональных данных вправе запросить у такого лица дополнительные сведения, предоставленные субъектом персональных данных при регистрации на веб-сайте Общества или на Платформе, либо попросить данное лицо направить электронный запрос на отзыв согласия через соответствующий аккаунт (профиль) субъекта персональных данных на веб-сайте Общества или на Платформе. В случае невыполнения обратившимся лицом указанных дополнительных действий Общество вправе отказать такому лицу в отзыве согласия на обработку персональных данных в целях защиты прав третьих лиц.

8.12. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законодательством оснований.
8.13. В случае отзыва субъектом согласия на обработку его персональных данных, если законных оснований продолжить их обработку нет, Общество прекращает их обработку (обеспечивает прекращение их обработки лицами, которым такая обработка поручена Обществом) и уничтожает или обезличивает персональные данные (обеспечивает уничтожение или обезличивание персональных данных) в срок, не превышающий 30 дней с даты поступления указанного отзыва.
8.14. В случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, за исключением случаев, предусмотренных законодательством. Общество сохраняет за собой право направить субъекту персональных данных мотивированное уведомление о продлении данного срока не более чем на 5 рабочих дней с указание причин такого продления.
8.15. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
8.16. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Обязанности Общества
9.1. При сборе персональных данных Общество обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 8.1 Политики.
9.2. Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также безвозмездно предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 дней с даты получения запроса субъекта персональных данных или его представителя. Общество сохраняет за собой право направить субъекту персональных данных мотивированное уведомление о продлении данного срока не более чем на 5 рабочих дней с указание причин такого продления.
9.3. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения.
9.4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки.
9.5. В случае выявления неточных персональных данных и соответствующем обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.6. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, Общество обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.7. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по его поручению, Общество в срок, не превышающий 3 рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества.
9.8. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также и указанный орган.
9.9. Если персональные данные были получены не от субъекта персональных данных, до начала использования таких персональных данных Общество обязано предоставить субъекту персональных данных следующую информацию:

• наименование и адрес Общества;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.

9.10. Информирование субъекта персональных данных о получении Обществом его данных и намерении их обрабатывать не требуется в следующих случаях:

• субъект персональных данных уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
• персональные данные получены Обществом в связи с исполнением договора, стороной которого является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• Общество осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных сведений, указанных в пункте 8.3 Политики, нарушает права и законные интересы третьих лиц.

9.11. В случаях, когда предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных является обязательным в соответствии с законодательством, Общество обязано разъяснить субъекту персональных данных юридические последствия отказа субъекта персональных данных предоставить его персональные данные и (или) дать согласие на их обработку Обществу. Типовая форма разъяснения последствий отказа предоставить персональные данные приведена в Приложении № 8 к Политике.
10. Организация обработки персональных данных
10.1. Лицо, ответственное за обработку персональных данных
10.1.1. Общество назначает лицо, ответственное за организацию обработки персональных данных.
10.1.2. Лицо, ответственное за организацию обработки персональных данных, получает указания по данным вопросам непосредственно от генерального директора Общества и подотчетно ему.
10.1.3. Руководители структурных подразделений Общества обязаны оперативно предоставлять необходимые материалы и сведения по запросам лица, ответственного за организацию обработки персональных данных, а также устранять нарушения требований законодательства при работе с персональными данными в случае выявления их в подразделении Общества.
10.1.4. Лицо, ответственное за организацию обработки персональных данных, обязано:

• осуществлять внутренний контроль за соблюдением Обществом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводить до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов Общества по вопросам обработки персональных данных, требования к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов структурными подразделениями Общества.

11. Сведения о реализуемых мерах по защите персональных данных
11.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Общества.
11.2. Организация работ по обеспечению безопасности персональных данных осуществляется руководством Общества.
11.3. Разработка и осуществление мероприятий по обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации возлагается на лицо, ответственное за обработку персональных данных в Обществе и/или на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных.
11.4. Для выбора и реализации методов и способов защиты информации (персональных данных) может привлекаться организация, имеющая оформленные в установленном порядке лицензию на деятельность по технической защите конфиденциальной информации и иные лицензии, если необходимость их наличия установлена законодательством и требуется для выполнения конкретных работ.
11.5. Безопасность персональных данных достигается в Обществе путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
11.6. Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства о персональных данных.
11.7. Правовые меры, принимаемые Обществом, включают:

• разработку локальных актов Общества, реализующих требования законодательства, в том числе настоящей Политики;
• отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства.

11.8. Организационные меры, принимаемые Обществом, включают:

• назначение лица, ответственного за организацию обработки персональных данных;
• ограничение состава работников Общества, имеющих доступ к персональным данным, организация разрешительной системы доступа к ним, идентификация и аутентификация субъектов доступа и объектов доступа, управление и разграничение доступа;
• издание локальных актов по вопросам обработки персональных данных;
• ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Общества по вопросам обработки персональных данных под роспись;
• обучение всех категорий работников Общества, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
• определение в должностных инструкциях работников Общества и/или трудовых договорах (дополнительных соглашениях к трудовым договорам) обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
• регламентацию процессов обработки персональных данных;
• организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз;
• размещение технических средств обработки персональных данных в пределах охраняемой территории;
• ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, в которых ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.

11.9. Технические меры, принимаемые Обществом, включают:

• определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, выполнение которых обеспечивает установленные уровни защищенности персональных данных;
• разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;
• использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
• реализацию разрешительной системы доступа работников в персональным данным, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации;
• регистрацию и учет действий с персональными данными пользователей информационных систем, где обрабатываются персональные данные;
• регистрацию событий безопасности в информационной системе, возможность просмотра и анализа информации о таких событиях и реагирование на них;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
• обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• шифрование передаваемых по незащищенным каналам связи, в том числе через сеть Интернет, персональных данных как при получении их от контрагентов с целью исполнения договора с ними, так и при их отправке контрагентам;
• периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
• обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, резервное копирование информации для возможности восстановления;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);
• исключение несанкционированного доступа к персональным данным, обрабатываемым в виртуальной инфраструктуре;
• обнаружение, идентификация и анализ инцидентов в информационной системе и принятие мер по устранению и предупреждению инцидентов;
• управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных и документирование таких изменений;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.

11.10. В составе информационной системы Общества должна иметься подсистема, обеспечивающая защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.11. При размещении информационной системы в дата-центре (облачной вычислительной инфраструктуре) часть мер безопасности может быть принята дата-центром (провайдером облачных вычислений), что отражается в договоре между Обществом и дата-центром (провайдером).
11.12. Установка и ввод в эксплуатацию средств защиты персональных данных в информационной системе Общества производятся в соответствии с эксплуатационной, технической и проектной документацией.
11.13. Размещение информационных систем персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11.14. Входные двери помещений, где хранятся материальные носители персональных данных, должны быть оборудованы замками, гарантирующими надежное закрытие помещения в не рабочее время.
11.15. Для контроля за входом могут устанавливаться кодовые замки или иные средства защиты, в необходимых случаях помещения оснащаются охранной сигнализацией.
11.16. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации:
11.16.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, таких как формы унифицированного учета работников и т.п.
11.16.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы между собой. При обработке персональных данных, предназначенных для различных целей, для каждой такой группы персональных данных должен использоваться отдельный материальный носитель.
11.16.3. Общество обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
11.16.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Документы, содержащие персональные данные (дела с документами, содержащими персональные данные работников, трудовые книжки, картотеки, учетные журналы, книги учета, анкеты и т.п.), должны находиться в хранилищах, обеспечивающих защиту от несанкционированного доступа. Места хранения носителей персональных данных, обрабатываемых без использования средств автоматизации, устанавливаются перечнем, форма которого приведена в Приложении № 15 к Политике.
11.16.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:

• о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;
• о категориях и перечне обрабатываемых персональных данных;
• об особенностях и правилах осуществления такой обработки.

11.16.6. Информирование указанных лиц оформляется в Обществе документально.
11.17. При обнаружении компьютерных инцидентов, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, Общество информирует об этом государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также обеспечивает взаимодействие с такой системой в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
11.18. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество с момента выявления такого инцидента уведомляет уполномоченный орган по защите прав субъектов персональных данных:

• в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

12. Заключительные положения
12.1. Политика является локальным актом Общества, который вступает в силу с момента подписания руководителем Общества приказа о введении его в действие и действует до отмены его приказом руководителя Общества и/или утверждения нового положения о порядке обработки и обеспечении безопасности персональных данных.
12.2. Действующая редакция Политики доступна любым и всем Пользователям веб-сайтов и Пользователям Платформы на официальном сайте Общества https://www.ite.group/, а также по адресам нахождения Платформы, указанным в настоящей Политике. Настоящая Политика может быть изменена Обществом. Любые изменения в Политике осуществляются Обществом самостоятельно и вступают в силу в день, следующий за днем опубликования таких изменений, если иное не указано в Политике. Пользователи веб-сайтов и Пользователи Платформы, обязуются самостоятельно знакомиться с изменениями, внесёнными в Политику. Фактическое использование Пользователями веб-сайтов и Пользователями Платформы, после внесения изменений в условия настоящей Политики, означает их согласие с новыми условиями.
12.3. Все указанные в настоящей Политике приложения являются составной частью Политики, но в силу того, что они не относятся к Пользователям веб-сайтов и Пользователям Платформы, не публикуются на веб-сайтах Общества и Платформе.
12.4. Иные обязанности и права Общества как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
12.5. Должностные лица и Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
12.6. Юридические лица, нарушившие договорные обязательства по обеспечению конфиденциальности персональных данных, а также общие требования к обработке персональных данных, несут гражданско-правовую и административно-правовую ответственность в соответствии с законодательством Российской Федерации.
12.7. Положения Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений обязательных для России норм международного права или действующего законодательства Российской Федерации в сфере персональных данных.
12.8. При внесении изменений в положения Политики учитываются:

• изменения в информационной инфраструктуре и (или) в используемых Обществом информационных технологиях;
• сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;
• изменения условий и особенностей обработки персональных данных Обществом в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.