1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет основные принципы, цели, правовые основания, условия, способы и сроки обработки персональных данных, объем и категории обрабатываемых персональных данных, субъектов персональных данных, обязанности Общества с ограниченной ответственностью «СмартПэкэджингТехнолоджиСервис» (далее - ООО «СПТСервис»/Компания) при обработке персональных данных, права субъектов персональных данных, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также реализуемые в Компании меры по обеспечению безопасности персональных данных.
1.2. Политика обработки персональных данных в ООО «СПТСервис» определяется в соответствии со следующими нормативными правовыми актами:
— Конституция Российской Федерации;
— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ);
— Трудовой кодекс Российской Федерации;
— Постановление Правительства Российской Федерации от 15 сентября — 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСБ РФ от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
— Приказ Роскомнадзора № 179 от 28.10.2022 «Требования к подтверждению уничтожения персональных данных»;
— Иные нормативно-правовые акты РФ и нормативные документы уполномоченных органов государственной власти.
1.3. В целях реализации положений Политики в ООО «СПТСервис» разрабатываются соответствующие локальные нормативные акты и иные документы, регламентирующие вопросы обработки и обеспечения безопасности персональных данных работников Компании и других субъектов персональных данных.

2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

2.1. В настоящей Политике и в иных локальных нормативных актах ООО «СПТСервис», регламентирующих вопросы обработки и защиты персональных данных, используются следующие термины и определения:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются ООО «СПТСервис».
Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение. уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Смешанная обработка — обработка персональных данных, включающая как автоматизированную, так и неавтоматизированную обработку персональных данных.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Сайты / Сервисы ООО «СПТСервис» - https://sptlab.ru/.

3.ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в ООО «СПТСервис» осуществляется на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
— не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных. ООО «СПТСервис» принимаются необходимые меры, по удалению или уточнению неполных, или неточных персональных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.2. Названные в п. 3.1. принципы применяются ко всем видам обработки персональных данных – как с использованием средств автоматизации, так и без использования таких средств.
3.3. Обработка персональных данных в Компании осуществляется с согласия субъекта персональных данных на такую обработку, если иное не предусмотрено законодательством РФ в области персональных данных.
3.4. Обработка персональных данных в Компании осуществляется с использованием баз данных, находящихся на территории РФ.
3.5. ООО «СПТСервис» осуществляет обработку персональных данных следующими способами:
- Неавтоматизированная обработка персональных данных;
- Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- Смешанная обработка персональных данных.
3.6. ООО «СПТСервис» осуществляет следующие действия/совокупность действий с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4. ПРАВОВЫЕ ОСНОВАНИЯ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ООО «СПТСервис» осуществляет обработку персональных данных, в том числе:

4.1.1 Правовыми основаниями обработки персональных данных также являются:
— Устав ООО «СПТСервис»;
— Договоры, заключаемые между ООО «СПТСервис» и субъектами персональных данных;
— Согласия субъектов персональных данных на обработку их персональных данных .
4.2. Цели, перечень субъектов персональных данных, перечень персональных данных, способы, сроки и правовые основания обработки персональных данных (ПД) в ООО «СПТСервис»:

4.3. Помимо целей, указанных в. п. 4.2. обработка персональных данных осуществляется в целях:
- обеспечения соблюдения положений Конституции Российской Федерации, законодательных и иных нормативных актов Российской Федерации, локальных нормативных актов ООО «СПТСервис».;
- осуществления прав и законных интересов ООО «СПТСервис» в рамках осуществления видов деятельности, предусмотренных Уставом;
- а также в иных законных целях.
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных физических лиц в Компании не осуществляется.
4.5. ООО «СПТСервис» не принимает на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
4.6. Компания не размещает персональные данные субъекта персональных данных в общедоступных источниках без его письменного согласия и не осуществляет распространение персональных данных без получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4.7. Сроки обработки персональных данных в ООО «СПТСервис» определяются с учетом:
- Установленных целей обработки персональных данных;
- Сроков действия договоров с субъектами персональных данных и/или согласий субъектов персональных данных на обработку их персональных данных;
- Сроков, определенных нормативно-правовыми актами Российской Федерации.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством о персональных данных РФ.
5.2. По мотивированному запросу, исключительно в целях выполнения возложенных законодательством РФ функций и полномочий, Компания может передавать персональные данные субъектов персональных данных без их согласия в органы государственной власти и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
5.3. Компания вправе передавать персональные данные и/или поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом №152-ФЗ.
5.4. Трансграничная передача персональных данных на территории иностранных государств не осуществляется.

6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством РФ, соглашением с субъектом персональных данных, либо договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных.
6.2. В Компании обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
6.3. Хранимые в Компании персональные данные подлежат защите от несанкционированного доступа и копирования, случайного их уничтожения, изменения, блокирования и распространения. При хранении персональных данных Компания обеспечивает:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
6.4. Персональные данные передаются на архивное хранение в соответствии с законодательством об архивном деле, уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ, соглашением с субъектом персональных данных, либо договором, стороной которого является субъект персональных данных.
6.5. Уничтожение персональных данных (ПД) производится в случаях:

• получен отзыв согласия на обработку ПД;
• когда, ПД являются избыточными для заявленной цели;
• были достигнуты цели обработки ПД или утрачена необходимость в достижении этих целей;
• истекли сроки хранения ПД, установленные законодательством РФ;
• неправомерной обработки ПД;
• выявления неактуальности, неточности ПД;
• по требованию уполномоченного органа по защите прав субъектов персональных данных.

7.МЕРЫ, ПРИНИМАЕМЫЕ КОМПАНИЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ НАДЛЕЖАЩЕЙ ОРГАНИЗАЦИИ ОБРАБОТКИ И БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Персональным данным, обрабатываемым в Компании, обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами ООО «СПТСервис», условиями заключенных Компанией соглашений и договоров, кроме случаев:
7.1.1. если персональные данные являются общедоступными, содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения;
7.1.2. если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с законодательством РФ.
7.2. С целью обеспечения безопасности персональных данных в Компании осуществляются следующие мероприятия:
7.2.1. Назначаются сотрудники, ответственные за организацию обработки и обеспечение безопасности персональных данных в Компании;
7.2.2. Издаются локальные акты по вопросам обработки персональных данных, информационной безопасности, осуществляется ознакомление с ними сотрудников;
7.2.3. Осуществляется обеспечение физической безопасности материальных носителей – источников персональных данных, исключающей несанкционированный доступ к ним;
7.2.4. Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах, которые обеспечивают выполнение требований к установленным уровням защищенности;
7.2.5. Ограничивается передача персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, Компании и сети Интернет без применения установленных в Компании мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
7.2.6. Производится ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам их обработки, осуществляется мониторинг действий с персональными данными;
7.2.7. Определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных и формирование на их основе моделей угроз;
7.2.8. Применяются средства обеспечения безопасности (антивирусные средства, средства защиты от несанкционированного доступа, средства криптографической защиты информации), в том числе, в необходимых случаях, прошедшие процедуру оценки соответствия в установленном порядке;
7.2.9. Осуществляется внутренний контроль за соблюдением установленного порядка реагирования ни инциденты, проверка эффективности принятых в Компании мер реагирования на инциденты и мер устранения последствий таких нарушений;
7.2.10. Проводиться проверка наличия в договорах (включение при необходимости в договоры) пунктов об обеспечении конфиденциальности и безопасности персональных данных;
7.2.11. Осуществляются иные меры в соответствии с локальными актами Компании.

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных, персональные данные которого обрабатываются Компанией, имеет право на получение сведений о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к такому субъекту, получение иной информации, касающейся обработки персональных данных субъекта, а также имеет право на ознакомление с обрабатываемыми Компанией персональными данными субъекта (включая право на получение копии любой записи, содержащей их персональные данные), за исключением случаев, предусмотренных Законом № 152-ФЗ. Указанное в настоящем пункте право реализуется субъектом путем направления письменного запроса в адрес Компании.
8.2. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных Компанией, направив соответствующий письменный запрос Компании. В случае отзыва субъектом согласия на обработку персональных данных, Компания вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством РФ или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.3. Субъект персональных данных имеет право на уточнение своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Указанное в настоящем пункте право реализуется субъектом путем направления письменного запроса в адрес Компании.
8.4. Письменный запрос субъекта персональных данных должен содержать сведения позволяющие идентифицировать отправителя (ФИО, сведения документа, удостоверяющего личность), контактные данные для обратной связи, а также подпись субъекта персональных данных. Письменный запрос субъекта персональных данных может быть направлен по почте по адресу Компании: 121170, г. Москва, ул. Поклонная, д.3, корпус 4, этаж 8, комната 16 или по адресу электронной почты Компании: hello@sptlab.ru .
8.5. Компания будет рассматривать поступающие запросы субъектов персональных данных в сроки, установленные Законом о персональных данных.

9. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ И ЛОКАЛЬНЫХ АКТОВ КОМПАНИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Внутренний контроль за соблюдением структурными подразделениями Компании, его филиалами и представительствами законодательства РФ и локальных нормативных актов Компании в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Компании.
9.2. Доступ к обрабатываемым в Компании персональным данным разрешается только работникам Компании, занимающим должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных.
9.3. Контроль за выполнением настоящей Политики и иных локальных актов Компании также осуществляют руководители структурных подразделений Компании – в отношении находящихся в их подчинении работников, осуществляющих обработку персональных данных.
9.4. За нарушение требований, установленных законодательством РФ, локальными актами Компании, работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством РФ.