№  п/п	Наименование документа
1	Конституция Российской Федерации
2	Трудовой кодекс Российской Федерации
3	Гражданский кодекс Российской Федерации
4	Налоговый кодекс Российской Федерации
5	Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
6	Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
7	Федеральный закон от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»
8	Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
9	Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»
10	Приказ ФНС России от 15.10.2020 г № ЕД-7-11/753@ «Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц»
11	Положение о воинском учете, утвержденное Постановлением Правительства РФ от 27.11.2006 г. № 719
12	Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»
13	Федеральный закон 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»
14	Устав ООО «ТТК «Дрогаль»
15	Договоры, иные документы, заключаемые между Оператором и контрагентами
16	Согласие на обработку персональных данных

Сокращение	Расшифровка сокращения
ПДн	Персональные данные
Оператор	ООО «ТТК «Дрогаль»
Политика	Политика обработки персональных данных ООО «ТТК «Дрогаль»
152-ФЗ	Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
Сайт	Сайты Оператора с доменными именами drogal.ru и yaschiki.ru
Субъект ПДн	Субъект персональных данных
Пользователь сайта	Лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
Сеть «Интернет»	Информационно-телекоммуникационная сеть «Интернет»
Контрагент	Юридическое лицо, индивидуальный предприниматель, физическое лицо, представитель, работник этого лица, взаимодействующее с Оператором любым способом, по любым вопросам, связанным с деятельностью Оператора.

1.6. Все работники Оператора, получающие доступ к ПДн Субъектов ПДн, в обязательном порядке должны быть ознакомлены с настоящей Политикой для последующего ее исполнения.

1.7. Действующая редакция Политики, являющаяся публичным документом, доступна любому Пользователю сети «Интернет» при переходе по ссылкам:

Сайт	Ссылка
drogal.ru	https://drogal.ru/politika-konfidenczialnosti/
yaschiki.ru	https://yaschiki.ru/politika-konfidenczialnosti/

1.8. Настоящая Положение и изменения к нему утверждаются приказом руководителя Оператора.

1.9. Ограничения Оператора:

1) на Сайте могут быть размещены ссылки на сторонние сайты и службы, которые не контролируются Оператором. Оператор не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами или службами; 

2) действие Политики не распространяется на отношения, возникающие при:

• организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

3) обязательная для предоставления сервисов и оказания услуг информация при использовании Сайта отмечена специальным образом (значок *). Иная информация предоставляется пользователем на его усмотрение. Предоставление такой информации является согласием на обработку ПДн.

2. Цели и принципы обработки ПДн

2.1. ПДн обрабатываются Оператором в следующих целях:

1) обеспечение соблюдения Конституции Российской Федерации, нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

2) осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе, но не исключительно:

• по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• исчислению и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
•  выполнению требований законодательства об основах охраны здоровья граждан;
•  выполнению требований законодательства в сфере труда и налогообложения;
• выполнению требований законодательства о воинской обязанности;
• исполнению судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• исполнению требований Федерального закона 63-ФЗ «Об электронной подписи»;
• исполнению требований Федерального закона 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и требований регламентов электронных торговых площадок;
• выполнению требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся контрагентами Оператора;

3) осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;

4) регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых поездок, организация питания, прохождения медицинских осмотров, санаторно-курортного лечения, участия в корпоративных мероприятиях, предоставление налоговых вычетов);

5) предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;

6) оформление договоров ДМС;

7) организация внутри объектового и пропускного режима;

8) начисления заработной платы работников;

9) наделение работников определенными полномочиями (оформление доверенностей);

10) подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами, заключаемыми Оператором с контрагентами;

11) предоставление Субъектам ПДн возможности по передаче отчетности по телекоммуникационным каналам связи;

12) предоставление Субъектам ПДн возможности пользоваться сервисами: электронная отчетность, электронный документооборот и пр.;

13) изготовление и хранение сертификатов ключей проверки ЭП, изготовление списка отзывов сертификатов, ведение реестра выданных и аннулированных сертификатов;

14) осуществления предпринимательской деятельности в соответствии с Уставом Оператора:

• создание и поддержание положительного имиджа Оператора;
• предоставление персонализированных расчетов, информации и оперативной консультации;
• идентификация стороны в рамках оказываемых услуг, ведения переговоров, заключения договоров с Оператором и сопутствующего документооборота;
• контроль и улучшение качества сервисов, удобства их использования, разработка новых сервисов и услуг;
• осуществление оперативной связи: осуществление звонков, направление текстовых сообщений, уведомлений, запросов на указанные Субъектом ПДн телефоны, почтовые и электронные адреса;
• предоставление Субъекту ПДн эффективной клиентской и технической поддержки при возникновении проблем, связанных с оказанной услугой или использованием Сайта;
• реклама, промо-акции с согласия Субъекта ПДн.

2.2. Обработка ПДн осуществляется на основе общих принципов:

1) законности заранее определенных конкретных целей и способов обработки ПДн;

2) обеспечения надлежащей защиты ПДн;

3) соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе ПДн;

4) соответствия объема, характера и способов обработки ПДн целям обработки ПДн;

5) достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

6) хранения ПДн осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем того требуют цели обработки;

7) уничтожения ПДн по достижении целей обработки, если срок хранения ПДн не установлен законодательством РФ;

8) обеспечения конфиденциальности и безопасности обрабатываемых ПДн.

3. Категории Субъектов, ПДн которых обрабатываются Оператором, перечень ПДн

3.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 Политики.

3.2. К категориям Субъектов ПДн относятся:

1) кандидаты для приема на работу к Оператору;

2) работники Оператора (в том числе уволенные);

3) члены семьи работников;

4) контрагенты Оператора;

5) представители, работники контрагентов Оператора;

6) любые пользователи Сайта, имеющие доступ к Сайту, посредством сети Интернет и использующие Сайт;

7) любые лица, обратившиеся к Оператору посредством любых видов связи.

3.3. Кандидаты для приема на работу к Оператору:

Цель обработки:	исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.
Персональные данные:	фамилия, имя, отчество; пол; гражданство; дата и место рождения; контактные данные; сведения об образовании, опыте работы, квалификации; иные персональные данные, сообщаемые кандидатами, предоставляемые по своему усмотрению.

3.4. Работники Оператора:

Цель обработки:

исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.

Персональные данные:

фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, а также данные, предоставляемые по своему усмотрению.

3.5. Члены семьи работников Оператора:

Цель обработки:	исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений.
Персональные данные:	фамилия, имя, отчество; степень родства; год рождения; свидетельство о рождении; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, а также данные, предоставляемые по своему усмотрению.

3.6. Контрагенты Оператора (физические лица):

Цель обработки:	осуществление предпринимательской деятельности в соответствии с Уставом Оператора, осуществление пропускного режима.
Персональные данные:	фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; контактные данные; замещаемая должность; индивидуальный номер налогоплательщика; номер расчетного счета; иные персональные данные, предоставляемые контрагентами, необходимые для заключения и исполнения договоров, а также данные, предоставляемые по своему усмотрению.

3.7. Представители, работники контрагентов Оператора (юридических лиц и индивидуальных предпринимателей).

Цель обработки:	осуществление предпринимательской деятельности в соответствии с Уставом Оператора, осуществление пропускного режима.
Персональные данные:	фамилия, имя, отчество; паспортные данные; контактные данные; замещаемая должность; иные персональные данные, предоставляемые представителями (работниками) контрагентов по своему усмотрению.

3.8. Пользователи Сайта, иные лица, обратившиеся к Оператору:

Цель обработки:	осуществление предпринимательской деятельности в соответствии с Уставом Оператора.
Персональные данные:	имя; контактные данные; иные персональные данные, предоставляемые лицами по своему усмотрению в целях решения вопроса обращения.

3.9. Для идентификации Сайта поисковыми системами, в аналитических целях, для решения технических проблем Оператор использует службу «Яндекс.Метрика», технологии cookies, а также специальные инструменты спроектированной платформы, на которой создан Сайт.

Обработка ПДн осуществляется в целях улучшения работы Сайта Оператора, совершенствования программных продуктов Оператора, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Оператора. Доступ к собранным данным Оператор осуществляет путем предоставления точно определенному кругу лиц.

3.9.1. Сторонние сервисы (включая систему аналитики «Яндекс.Метрика») обрабатывают следующие ПДн посетителей и пользователей Сайта:

Цель обработки:	аналитика.
Персональные данные:	пол; возраст; географическое (общее) местоположение. источники переходов на Сайт; ключевые фразы, по котором пользователи переходят на Сайт; показатели отказов; время пребывания на Сайте; глубина просмотра; кликабельность объявлений; конверсия.

3.9.2. Специальные инструменты спроектированной платформы, на которой создан Сайт Оператора обрабатывает следующие ПДн посетителей и пользователей Сайта:

Цель обработки:

аналитика, решение технических проблем.

Персональные данные:

данные об устройстве и приложении (тип, операционная система, идентификатор мобильного устройства или приложения, версия браузера, используемые языковые настройки и язык); дата и время отметки об использовании устройства; файлы cookies и пиксели, которые установлены на устройстве или с которыми осуществляется взаимодействие через него; зарегистрированная активность (сеансы, клики, использование функций, зарегистрированные действия, движение мыши и другие взаимодействия); сторонние файлы cookies для встраивания элементов сторонних разработчиков, например видео, форм обратной связи или кнопок социальных сетей, позволяющих обмениваться содержимым сайтов; веб-маяки (включаются, в частности, в рассылаемые электронными средствами материалы с целью определить, открывались ли эти сообщения и что с ними происходило впоследствии).

Субъект ПДн вправе ограничить или запретить использование технологии cookies путем применения соответствующих настроек в своем браузере.

3.10. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных Оператором не осуществляется.

4. Основные права и обязанности Оператора

4.1. Оператор имеет право:

1) получать от Субъекта ПДн достоверные информацию и/или документы, содержащие ПДн;

2) в случае отзыва Субъектом ПДн согласия на обработку ПДн, а также, направления обращения с требованием о прекращении обработки ПДн, Оператор вправе продолжить обработку ПДн без согласия Субъекта ПДн при наличии оснований, указанных в 152-ФЗ;

3) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;

4) поручить обработку ПДн другому лицу с согласия Субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее об-работку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ. В поручении Оператора должны быть определены пе-речень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица со-блюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 152-ФЗ.

4.2. Оператор обязан:

1) при сборе ПДн, в том числе посредством Сети, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ;

2) предоставлять Субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;

3) организовывать обработку ПДн в порядке, установленном действующим законодательством РФ;

4) отвечать на обращения и запросы Субъектов ПДн и их законных представителей в соответствии с требованиями 152-ФЗ;

5) сообщать в уполномоченный орган по защите прав Субъектов ПДн по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;

6) публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;

7) принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

8) прекратить передачу (распространение, предоставление, доступ) ПДн, прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных 152-ФЗ;

9) разъяснить Субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с федеральным законом;

10) исполнять иные обязанности, предусмотренные 152-ФЗ.

4.3. Оператор осуществляет иные права и обязанности, установленные 152-ФЗ

5. Основные права и обязанности Субъектов ПДн

5.1. Субъекты ПДн данных имеют право:

1) получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются ПДн Опера-тором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим Субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен 152-ФЗ;

2) требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно получен-ными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3) выдвигать условие предварительного согласия при обработке ПДн в целях про-движения на рынке товаров, работ и услуг;

4) на отзыв согласия на обработку ПДн, а также, на направление требования о прекращении обработки ПДн;

5) обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.

5.2. Субъекты ПДн данных обязаны:

1) предоставлять Оператору достоверные данные о себе;

2) сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.

5.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5.4. В связи с тем, что безопасность определяется не только уровнем защиты портала, к которому подключается Субъект ПДн, но и уровнем защиты рабочего места, с которого осуществляется доступ, для безопасной работы Субъект ПДн должен следовать следую-щим рекомендациям:

1) использовать на рабочем месте исключительно лицензионное программное обеспечение;

2) устанавливать все необходимые обновления безопасности, рекомендуемые про-изводителем программного обеспечения;

3) устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;

4) не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;

5) не заходить на Сайт, не обращаться к Оператору со случайных компьютеров, ин-тернет-кафе либо иных недоверенных рабочих мест;

6) следить за сохранностью средств связи.

5.5. Субъект ПДн осуществляет иные права и обязанности, установленные 152-ФЗ.

6. Перечень действий, совершаемых Оператором с ПДн, способы обработки ПДн

6.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

6.2. В зависимости от информационной системы, используемой Оператором, целей обработки ПДн, обработка ПДн может осуществляться путем:

1) неавтоматизированная обработка персональных данных;

2) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

3) смешанная обработка персональных данных.

6.3. Оператор не производит трансграничную передачу ПДн.

7. Порядок и условия обработки ПДн

7.1. Обработка ПДн Оператором осуществляется с согласия Субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Российской Федерации в области ПДн.

7.2. Оператор без согласия Субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.

7.3. В целях информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные ПДн, сообщаемые Субъектом ПДн.

7.4. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка ПДн.

7.5. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

7.6. Оператор обеспечивает раздельное хранение ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн.

7.7. Хранение материальных носителей ПДн осуществляется Оператором с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.

7.8. Обработка ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с Субъектом ПДн не установлен соответствующий срок хранения.

7.9. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку ПДн подлежат уничтожению или обезличиванию, если:

1) иное не предусмотрено договором;

2) Оператор не вправе осуществлять обработку без согласия Субъекта ПДн на основаниях, предусмотренных 152-ФЗ или иными федеральными законами;

3) иное не предусмотрено иным соглашением между Оператором и Субъектом ПДн.

7.10. Оператор и иные лица, получившие законный доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.

8. Порядок и условия обработки ПДн в информационных системах

8.1. Обработка ПДн в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности ПДн, определённых с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах.

8.2. Уполномоченному сотруднику Оператора, имеющему право осуществлять обработку ПДн в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными (функциональными) обязанностями работников.

8.3. Информация может вноситься как в автоматическом режиме при получении ПДн с Сайта Оператора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

8.4. Обеспечение безопасности ПДн, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия соответствующих мер по обеспечению безопасности.

8.5. В случае выявления нарушений порядка обработки ПДн уполномоченными работниками Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению.

8.6. В состав мер по обеспечению безопасности ПДн, реализуемых в рамках системы защиты ПДн с учетом актуальных угроз безопасности ПДн и применяемых информационных технологий, входят:

1) идентификация и аутентификация субъектов доступа и объектов доступа;

2) управление доступом субъектов доступа к объектам доступа;

3) ограничение программной среды;

4) защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;

5) регистрация событий безопасности;

6) антивирусная защита;

7) обнаружение (предотвращение) вторжений;

8) контроль (анализ) защищенности ПДн;

9) обеспечение целостности информационной системы и ПДн;

10) обеспечение доступности ПДн;

11) защита среды виртуализации;

12) защита технических средств;

13) защита информационной системы, ее средств, систем связи и передачи данных;

14) выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПДн, и реагирование на них;

15) управление конфигурацией информационной системы и системы защиты ПДн.

8.7. Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 152-ФЗ.

8.8. В соответствии с пунктом 11 статьи 19  152-ФЗ под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в информационных системах ПДн.

9. Особенности обработки ПДн, разрешенных Субъектом ПДн для распространения

9.1. Оператор в рамках своей деятельности может осуществлять распространение ПДн Субъекта ПДн при наличии соответствующего согласия Субъекта ПДн, полученного в строгом соответствии с требованиями статьи 10.1 152-ФЗ.

9.2. Согласие на обработку ПДн, разрешенных Субъектом ПДн для распространения, оформляется отдельно от иных согласий. Субъект ПДн самостоятельно может определить категории и перечень ПДн, разрешенных для распространения.

9.3. В согласии на обработку ПДн, разрешенных Субъектом ПДн для распространения, Субъект ПДн данных вправе установить условия и запреты, накладываемые на перечень и категории ПДн разрешенных Субъектом ПДн для распространения.

9.4. Распространение ПДн производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет».

10. Обеспечение защиты ПДн при их обработке Оператором

10.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами и иными правовыми актами. К таким мерам относятся:

1) назначение Оператором ответственного за обработку ПДн и ответственного за безопасность при обработке ПДн;

2) издание Оператором документов, определяющих политику Оператора в отношении обработки ПДн, локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности ПДн;

4) хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

5) получение согласий Субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

6) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным нормативным актам Оператора;

7) определение оценки вреда, который может быть причинен Субъектам ПДн в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;

8) организация обучения и проведение методической работы с работниками обособленных подразделений Оператора, занимающими должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка ПДн;

9) ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных сотрудников.

10.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн Оператора.

11. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки ПДн, в том числе требований к защите ПДн

11.1. Контроль за соблюдением структурными подразделениями Оператора законодательства Российской Федерации и локальных нормативных актов Оператора в области ПДн, в том числе требований к защите ПДн, осуществляется с целью проверки соответствия обработки ПДн Оператора законодательству Российской Федерации и локальным нормативным актам Оператора в области ПДн, в том числе требованиям к защите ПДн, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области ПДн, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

11.2. Внутренний контроль за соблюдением сотрудниками Оператора законодательства РФ и локальных нормативных актов Оператора в области ПДн, в том числе требований к защите ПДн, осуществляется лицом, ответственным за организацию обработки ПДн Оператором, а в обособленных подразделения Оператора – лицами, назначенными таковыми. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Оператора в области ПДн в обособленном подразделении Оператора, а также за обеспечение конфиденциальности и безопасности ПДн в указанных подразделениях Оператора возлагается на их руководителей.

12. Актуализация, исправление, уничтожение, обезличивание ПДн

12.1. Актуализация и исправление ПДн. В случае предоставления Субъектом ПДн фактов о неполных, устаревших, недостоверных или незаконно полученных ПДн Оператор обязан принять меры:

1) в случае подтверждения факта неточности ПДн ПДн подлежат их актуализации Оператором;

2) в случае неправомерности их обработки такая обработка должна быть прекращена.

12.2. Уничтожение ПДн. При достижении целей обработки ПДн, а также в случае истечения срока согласия на обработку ПДн или отзыва Субъектом ПДн согласия на их обработку ПДн подлежат уничтожению или обезличиванию, если:

1) иное не предусмотрено договором, выгодоприобретателем или поручителем, по которому является Субъект ПДн;

2) Оператор не вправе осуществлять обработку без согласия Субъекта ПДн на основаниях, предусмотренных 152-ФЗ или иными федеральными законами;

3) иное не предусмотрено иным соглашением между Оператором и Субъектом ПДн

13. Реагирование на запросы Субъектов ПДн

13.1. Порядок прием запросов от Субъектов ПДн.

13.1.1. Запрос Субъекта ПДн или его представителя подается в письменной форме по электронной почте: info@drogal.ru. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

13.1.2. Запрос на получение информации, касающейся обработки ПДн, перечисленной в п. 7 ст. 14 152-ФЗ, предоставляется Субъектом ПДн в произвольной форме и должен содержать следующие необходимые сведения о Субъекте ПДн:

1) номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя;

2) сведения о дате выдачи указанного документа и выдавшем его органе;

3) сведения, подтверждающие участие Субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;

4) подпись Субъекта ПДн или его представителя.

К обработке принимаются запросы, оформленные в соответствии с требованиями действующего законодательства Российской Федерации и подтверждающие принадлежность ПДн обращающемуся субъекту.

13.1.3. Запрос/требование на прекращение передачи (распространение, предоставление, доступ) ПДн, разрешенных Субъектом ПДн для распространения, должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта ПДн, перечень ПДн, обработка которых подлежит прекращению, а также информационный ресурс, на котором они размещены.

13.1.4. В случае поступления запроса Субъекта ПДн или его представителя по ПДн Оператор регистрирует запрос и выполняет действия, указанные в 152-ФЗ, согласно установленному порядку и срокам.

14. Заключительные положения

14.1. Настоящая Политика и изменения к ней утверждаются Генеральным директором Оператора и вводятся приказом.

14.2. Положения настоящей Политики вступает в силу с 30 мая 2025 года и действует до ее отмены, принятия нового документа, определяющего политику Оператора по вопросам ПДн.