7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
7.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
7.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
7.5. Обработка персональных данных осуществляется Оператором следующими способами: сбор (получение) персональных данных от самих субъектов персональных данных (в том числе через интернет-сайт, по электронной почте, при личном предоставлении документов); запись, систематизация, накопление данных в информационных системах персональных данных; хранение на электронных носителях и (или) на бумажных носителях; уточнение (обновление, изменение) по мере необходимости; использование в соответствии с целями обработки; передача (предоставление, доступ) ограниченному кругу лиц при наличии законных оснований (например, передача государственным органам при исполнении их запросов в порядке, установленном законом, или организациям-партнерам по заключенному с субъектом договору); обезличивание персональных данных; блокирование и уничтожение по окончании сроков хранения или в иных предусмотренных случаях; получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных; получение персональных данных из общедоступных источников; внесение персональных данных в журналы, реестры и информационные системы Оператора; использование иных способов обработки персональных данных.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
7.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Согласие на распространение персональных данных запрашивается Оператором в случаях, когда предполагается размещение персональных данных субъекта в общедоступных источниках или их раскрытие неопределенному кругу лиц. В частности, такое согласие требуется, если Оператор планирует опубликовать сведения о субъекте (например, о работнике или клиенте) на своем вебсайте, в социальных сетях, рекламных материалах, либо передать персональные данные субъекта третьим лицам для неопределенного круга пользователей. Без получения указанного согласия распространение персональных данных субъектов не производится – все полученные от субъекта персональные данные используются Оператором исключительно для внутренних целей или для целей исполнения конкретных договоров и не становятся общедоступными без разрешения субъекта.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
Согласие на распространение персональных данных содержит, помимо прочего, следующие сведения: фамилия, имя, отчество субъекта и его контактные данные; наименование (имя) и адрес Оператора, получающего согласие; перечень персональных данных (по категориям), которые разрешаются субъектом для распространения; перечень действий с персональными данными, на совершение которых дается разрешение (включая, собственно, распространение, передачу, предоставление доступа неограниченному кругу лиц); указание на запреты или условия обработки персональных данных в рамках распространения, если они установлены субъектом; срок, на который дается согласие, и порядок его отзыва. Оператор обязан не позднее чем через 3 рабочих дня с момента получения согласия субъекта на распространение персональных данных опубликовать сведения об условиях обработки таких персональных данных, о наличии установленных субъектом запретов и условий их обработки для неограниченного круга лиц (например, разместить соответствующую информацию на своем официальном сайте либо иным доступным способом довести до неопределенного круга лиц условия обработки распространенных данных). Если субъект персональных данных установил в согласии запрет на передачу определенных данных неограниченному кругу лиц или запрет на их обработку указанными категориями лиц, Оператор при распространении данных обеспечивает соблюдение таких условий и ограничений.
7.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке;
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных.
7.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором. Сроки хранения персональных данных определяются в соответствии со следующими критериями:
Длительность договора или использования услуг. Персональные данные клиентов и контрагентов хранятся в течение срока действия договора, заключенного с субъектом, а также в течение необходимого дополнительного срока после окончания договора – например, до полного исполнения взаимных обязательств, окончания сроков исковой давности по возможным претензиям или спорам, связанных с договором (как правило, 3 года, если иное не установлено законом), и/или иного срока хранения, требуемого законодательством для отдельных видов документов.
Срок трудовых отношений. Персональные данные работников обрабатываются и хранятся на протяжении всего периода действия трудового договора. После увольнения работника необходимые сведения включаются в архив и хранятся в соответствии с требованиями архивного законодательства и трудового законодательства РФ. Например, личные дела уволенных сотрудников хранятся 50–75 лет (в зависимости от категории документов), сведения о начислении и выплате заработной платы – не менее 50 лет, иные документы – в установленные законодательством сроки.
Законодательные требования о хранении. Для отдельных видов персональных данных законом установлены минимальные сроки хранения, которые Оператор строго соблюдает. Так, первичные бухгалтерские документы, содержащие персональные данные, должны храниться не менее 5 лет; документы налогового учета – не менее 5 лет; договоры с контрагентами – не менее 5 лет после их исполнения и т.д. Персональные данные хранятся не меньше указанного периода, даже если цели обработки уже достигнуты, если закон требует их хранения.
Отсутствие необходимости в дальнейшем хранении. Персональные данные, по которым достигнута цель обработки и более не требуется их хранение (если нет законных требований о хранении), подлежат уничтожению либо обезличиванию (деперсонификации) Оператором в разумный срок. Оператор регулярно (не реже одного раза в год) проводит проверку актуальности персональных данных и необходимости их дальнейшего хранения. Если выясняется, что цель обработки достигнута или срок хранения истек, Оператор уничтожает соответствующие данные. Во всех случаях Оператор хранит персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки или срок хранения персональных данных, если такой срок установлен федеральным законом или договором. По истечении срока хранения персональные данные должны быть обезличены либо уничтожены в течение срока, не превышающего 30 дней, если иное не предусмотрено требованием законодательства или распоряжением уполномоченного органа.
7.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
7.11. Отзыв согласия на распространение. Субъект персональных данных вправе в любое время отозвать свое согласие на обработку персональных данных, разрешенных им для распространения. Для отзыва согласия субъект направляет Оператору соответствующее требование в письменной форме (либо в форме электронного документа, подписанного электронной подписью), содержащее фамилию, имя, отчество субъекта, его контактные данные (телефон, адрес электронной почты или почтовый адрес) и перечень персональных данных, распространение которых необходимо прекратить. Субъект персональных данных обязан отправить соответствующее требование в соответствии с пунктом 9.1 Политики. Оператор прекращает передачу (распространение, предоставление, доступ) соответствующих персональных данных не позднее 3 рабочих дней с момента получения требования об отзыве согласия либо в более короткий срок, установленный законодательством или договором с субъектом. С момента поступления требования об отзыве согласия действие ранее данного субъектом согласия на распространение считается прекращенным (отмененным) . В случае отзыва согласия на распространение персональных данных, Оператор вправе продолжить обработку соответствующих персональных данных только в объеме, необходимом для достижения целей обработки, не связанных с их распространением, либо должен уничтожить такие данные. Если Оператору требование об отзыве согласия поступило от субъекта, чьи персональные данные уже были распространены неограниченному кругу лиц (например, опубликованы в интернете), Оператор предпринимает возможные меры к прекращению дальнейшего распространения таких данных, а также уведомляет лиц, которым эти данные были ранее раскрыты, о необходимости прекратить их обработку (если это возможно).
7.12. Трансграничная передача персональных данных не осуществляется. Оператор не передает персональные данные на территорию иностранных государств; обработка всех персональных данных осуществляется на территории Российской Федерации. В случае, если в будущем возникнет необходимость трансграничной передачи персональных данных (например, при использовании облачных сервисов, размещенных за рубежом, либо при взаимодействии с иностранными партнерами), Оператор будет осуществлять такую передачу только при соблюдении требований законодательства РФ и при наличии достаточных гарантий защиты прав субъектов персональных данных, включая, при необходимости, получение отдельного согласия субъектов на трансграничную передачу.
8. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.Уничтожение персональных данных Оператором осуществляется в соответствии с требованиями законодательства и локальных актов Оператора.
8.2. Персональные данные подлежат уничтожению в следующих случаях: достижение целей обработки или истечение установленных сроков хранения; отзыв субъектом персональных данных согласия (если обработка осуществлялась на основании согласия и нет иных законных оснований для обработки); выявление факта незаконной обработки персональных данных (если сохранение данных не требуется для целей доказательства и привлечения к ответственности виновных); ликвидация Оператора или иные предусмотренные законом случаи.
8.3. Уничтожение персональных данных производится способом, исключающим дальнейшую возможность восстановления содержания персональных данных.
8.4. Для персональных данных, хранящихся в электронной форме в информационных системах, уничтожение достигается путем удаления соответствующих файлов и записей из систем с последующим невозможным восстановлением (в том числе путем перезаписи или применения специализированного программного обеспечения для безвозвратного удаления информации).
8.5. Для персональных данных, зафиксированных на бумажных носителях, применяется механическое уничтожение носителей (шредирование, сжигание) либо иные способы, не позволяющие восстановить информацию.
9. ОТЗЫВ СОГЛАСИЯ, АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ
НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1. Субъект вправе отозвать согласие на обработку его персональных данных, обратившись к Оператору. Такой отзыв должен содержать сведения, позволяющие достоверно установить личность такого субъекта и факт обработки его персональных данных Оператором.
Обращения (запросы) субъектов персональных данных по вопросам обработки персональных данных в ООО «Буря.Групп» могут быть направлены на адрес электронной почты info@burya.group и почтовый адрес: 125475, город Москва, Зеленоградская ул, д. 31 к. 3, кв. 212.
9.2. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.
9.3. По запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4. Если иное не предусмотрено законодательством Российской Федерации, запрос должен содержать:
· номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
· подпись субъекта персональных данных или его представителя.
9.5. Запрос может быть направлен в электронной форме, в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.6. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.7. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.8. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10. ОТВЕТСТВЕННОСТЬ
10.1 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами (соглашениями), регламентирующими правоотношения Оператора с третьими лицами.
11. ДОСТУП К ПОЛИТИКЕ
11.1. Действующая редакция Политики на бумажном носителе хранится по адресу: 125475, город Москва, Зеленоградская ул, д. 31 к. 3, кв. 212.
11.2. Актуальная редакция Политики доступна для ознакомления любым субъектам персональных данных – электронная версия действующей редакции Политики опубликована в свободном доступе на сайте Оператора в сети «Интернет» по адресу: https://buryadesign.ru/.
11.3. Копия Политики может быть предоставлена по запросу субъекта в печатном либо электронном виде.
11.4. Любые вопросы, связанные с положениями настоящей Политики или обработкой персональных данных в ООО «Буря.Групп», субъекты персональных данных могут направить на электронный адрес Оператора и по почтовому адресу: 125475, город Москва, Зеленоградская ул, д. 31 к. 3, кв. 212.
Оператор рассмотрит обращение и предоставит ответ в срок, установленный законодательством или в
максимально короткий разумный срок.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Политика утверждается и вводится в действие Генеральным директором Оператора.
12.2. Настоящая Политика вступает в силу с даты ее утверждения Генеральным директором ООО «Буря.Групп» – 07 августа 2025 года – и действует бессрочно до замены новой редакцией.
12.3. Оператор имеет право вносить изменения в Политику без уведомления об этих изменениях Субъектов персональных данных. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
12.4. Политика подлежит пересмотру и актуализации в случае изменений законодательства Российской Федерации в области персональных данных, изменений локальных актов у Оператора или появления новых процессов обработки персональных данных у Оператора.
12.5. Предыдущие редакции Политики хранятся у Оператора в архиве и доступны для ознакомления в случае необходимости.
12.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
12.7. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.
Генеральный директор
Прохорова Елена Сергеевна 07 августа 2025 года