Флида
Правовые документы

Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в ООО «Яндекс» (далее – Политика) разработана в целях реализации ООО «Яндекс» (далее – Общество) положений законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Обществом, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика является основой для организации обработки и защиты персональных данных в Обществе, в том числе для разработки локальных нормативных актов (внутренних нормативных документов), регламентирующих порядок обработки и защиты персональных данных в Обществе, а также организационно-распорядительных документов по вопросам обработки и защиты персональных данных и определяет:

  • принципы обработки персональных данных, которыми руководствуется Общество при осуществлении деятельности;
  • правовые основания обработки персональных данных;
  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки, в том числе хранения персональных данных, порядок их уничтожения;
  • основных участников системы управления процессом обработки и защиты персональных данных;
  • основы организации процесса управления обработкой персональных данных;
  • основы порядка рассмотрения обращений Субъектов персональных данных по вопросам обработки персональных данных;
  • меры обеспечения безопасности (конфиденциальности, целостности, доступности) персональных данных;
  • права и обязанности Общества и Субъектов персональных данных.

1.3. Требования Политики являются обязательными для исполнения всеми Работниками Общества, в том числе Работниками зарубежных филиалов Общества, в части, не противоречащей законодательству государства, на территории которого зарегистрирован филиал.

1.4. Партнеры Общества вправе использовать Политику для разработки собственных ВНД/ОРД, регламентирующих вопросы обработки и защиты персональных данных.

1.5. Ознакомление Работников Общества с условиями, в том числе с изменениями условий Политики, осуществляется под подпись с учетом требований, предусмотренных ВНД/ОРД Общества.

1.6. Субъекты персональных данных могут ознакомиться с условиями Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Общества, размещенном по интернет-адресу: https://docs.flida.ru/legal/privacy-policy.

1.7. Термины, используемые в Политике, приведены по тексту Приложения 1. В случае отсутствия в Приложении 1 используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов РФ. При использовании в тексте Политики определенного термина, идентичного указанному в Приложении 1, но написанного с маленькой буквы («персональные данные», «обработка персональных данных», иное), такому термину тем не менее придается соответствующее значение, указанное в Приложении 1 к Политике.

1.8. Для страниц сайта и/или веб/мобильных приложений, посредством которых Обществом осуществляется сбор персональных данных, с целью ознакомления Субъектов персональных данных с более детальной информацией об обработке персональных данных и принимаемых мерах по их защите, Общество вправе разрабатывать дополнительные документы по вопросам обработки и защиты персональных данных, сбор которых осуществляется через такие страницы сайта и/или приложения, и размещать их на соответствующих страницах сайта и/или в приложениях. При этом обозначенные документы не могут противоречить требованиям законодательства РФ и положениям Политики.

2. Принципы обработки персональных данных

2.1. Организация обработки и защиты персональных данных в Обществе, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, которые являются основой соблюдения требований законодательства РФ, обеспечения безопасности (конфиденциальности, целостности, доступности) персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

  • осуществление обработки персональных данных на законной и справедливой основе;
  • обеспечение ограничения обработки персональных данных конкретными, заранее определенными и законными целями, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
  • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • осуществление обработки исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
  • обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных, а также принятие необходимых мер по уничтожению или уточнению неполных или неточных персональных данных;
  • осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
  • уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Общества), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

3. Правовые основания обработки персональных данных

3.1. Правовые основания обработки персональных данных Субъектов персональных данных определяются с учетом определенных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Обществе, являются:

3.1.1. согласие Субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством РФ для соответствующей категории персональных данных;

3.1.2. положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь;

3.1.3. судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства РФ об исполнительном производстве;

3.1.4. договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;

3.1.5. обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

3.1.6. осуществление прав и законных интересов Общества, Третьих лиц, Партнеров Общества, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;

3.1.7. участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных осуществляется в связи с участием в таком судопроизводстве;

3.1.8. обработка персональных данных необходима для исполнения функций организаций, участвующих в предоставлении государственных и/или муниципальных услуг, предусмотренных федеральными законами;

3.1.9. обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

3.1.10. обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;

3.1.11. обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта персональных данных;

3.1.12. обработка персональных данных, полученных в результате обезличивания персональных данных, в целях, предусмотренных Федеральным законом от 31.07.2020 № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанным федеральным законом при условии участия Общества в соответствующих экспериментальных режимах.

4. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки, в том числе хранения персональных данных, порядок их уничтожения

4.1. Обработка персональных данных Субъектов персональных данных осуществляется Обществом в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Для каждой цели обработки персональных данных в Обществе определены:

  • соответствующие категории и перечень обрабатываемых персональных данных;
  • категории Субъектов персональных данных, персональные данные которых обрабатываются Обществом;
  • способы и сроки обработки, в том числе хранения персональных данных;
  • порядок уничтожения персональных данных.

Перечисленные выше сведения публикуются на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» по адресу: https://docs.flida.ru/legal/privacy-policy и определены соответствующим ВНД Общества.

4.2. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с помощью средств вычислительной техники) и неавтоматизированная обработка персональных данных с фиксацией персональных данных на Материальных носителях. Обработка Обществом персональных данных указанными способами осуществляется с соблюдением требований законодательства РФ и положений ВНД Общества, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Общество принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований, установленных Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном законодательством РФ, в том числе Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»..

4.3. Сроки обработки, в том числе хранения персональных данных для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.

4.4. Порядок уничтожения персональных данных:

Уничтожение персональных данных производится в следующих случаях:

  • при достижении цели (целей), истечении срока обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и/или иными применимыми нормативными правовыми актами РФ;
  • при выявлении факта неправомерной обработки персональных данных;
  • при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Способы и сроки уничтожения персональных данных определяются ВНД Общества по вопросам обработки и защиты персональных данных в соответствии с требованиями законодательства РФ и в зависимости от способов обработки персональных данных и Материальных носителей персональных данных, на которых осуществляются запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 6.7. Политики.

5. Основные участники системы управления процессом обработки и защиты персональных данных и их функции

В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных законодательством РФ для Операторов персональных данных, в Обществе определены основные участники системы управления процессом обработки и защиты персональных данных и их функции:

5.1. Лицо, ответственное за организацию обработки и защиту персональных данных

5.1.1. В функции лица, ответственного за организацию обработки и защиту персональных данных, входят, в частности:

  • управление процессом организации обработки и защиты персональных данных в соответствии с требованиями законодательства РФ, настоящей Политики, а также ВНД/ОРД Общества по вопросам обработки и защиты персональных данных, включая разработку процесса, его организацию, контроль, совершенствование, управление ключевыми показателями эффективности;
  • обеспечение разработки и актуализации ВНД/ОРД, определяющих требования к обработке и защите персональных данных в Обществе;
  • организация доведения до сведения Работников Общества положений законодательства РФ, настоящей Политики, ВНД Общества по вопросам обработки и защиты персональных данных, а также обучения Работников по вопросам обработки и защиты персональных данных;
  • организация и осуществление экспертизы и внутреннего контроля процессов, в т. ч., Пилотных проектов Общества, на предмет соответствия законодательству о ПДн, настоящей Политики и ВНД Общества по вопросам обработки защиты персональных данных;
  • организация имплементации требований ВНД/ОРД Общества по вопросам обработки и защиты персональных данных в процессы, в т. ч. Пилотные проекты, Общества, в рамках которых осуществляется обработка персональных данных, а также в договоры;
  • организация обеспечения безопасности обрабатываемых персональных данных, включая разработку и организацию применения правовых и организационных мер, а также организацию применения технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • организация оценки влияния процессов Общества на права и свободы Субъектов ПДн в части обеспечения защиты прав Субъектов ПДн, а также организация оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения Обществом требований законодательства РФ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
  • организация проведения оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, направленных на митигацию возможных рисков, связанных с обработкой персональных данных;
  • обеспечение контроля за соблюдением требований к обработке и защите персональных данных;
  • организация контроля за приемом и обработкой обращений, запросов Субъектов персональных данных или их Представителей, обладающих полномочиями на представление интересов Субъектов персональных данных, по вопросам обработки персональных данных Субъектов персональных данных;
  • организация взаимодействия с Надзорным органом и иными компетентными органами (в том числе государственными органами и/или учреждениями, государственными внебюджетными фондами, органами местного самоуправления, Банком России, судебными органами) по вопросам обработки и защиты персональных данных в Обществе, включая предоставление необходимой информации;
  • организация порядка Трансграничной передачи или получения персональных данных с территории иностранных государств;
  • организация взаимодействия между подразделениями, которым делегированы функции лица, ответственного за организацию обработки и защиту персональных данных, включая определение функций указанных подразделений.

5.1.2. Лицо, ответственное за организацию обработки и защиту персональных данных, при исполнении возлагаемых на него функций вправе:

  • делегировать функции, предусмотренные для лица, ответственного за организацию обработки и защиту персональных данных, положениями законодательства РФ, настоящей Политики, иных ВНД Общества, лицам, обязанным исполнять указания/поручения по реализации указанных функций в порядке, установленном ВНД Общества, а также определять функции указанных лиц;
  • направлять указания и поручения по вопросам обработки и защиты персональных данных в порядке, предусмотренном ВНД Общества, в адрес подразделений и Работников Общества, осуществляющих обработку персональных данных и/или имеющих доступ к персональным данным. Исполнение таких указаний и поручений является обязательным для всех подразделений и Работников Общества.

5.2. Управление внутреннего аудита

Управление внутреннего аудита в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Общества по обеспечению соблюдения требований настоящей Политики, а также утвержденных ВНД/ОРД Общества по вопросам обработки и защиты персональных данных.

5.3. Правовой департамент:

  • осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;
  • обеспечивает правовую защиту интересов Общества при рассмотрении административных дел, а также гражданско-правовых, трудовых и иных споров по вопросам обработки и защиты персональных данных.

5.4. Владельцы процессов и ИСПДн

Владельцы процессов и ИСПДн обеспечивают разработку и функционирование процессов и ИСПДн, в которых осуществляется обработка персональных данных, в соответствии с положениями законодательства РФ, ВНД Общества по вопросам обработки и защиты персональных данных.

Вышеуказанные участники системы управления процессом обработки и защиты персональных данных могут исполнять иные функции, если это предусмотрено ВНД Общества. ВНД Общества также могут быть предусмотрены иные участники системы управления процессом обработки и защиты персональных данных в Обществе.

6.Организация процесса управления обработкой персональных данных

6.1. Обрабатывая персональные данные, Общество руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленными положениями законодательства РФ, Политики, иных ВНД/ОРД Общества, регламентирующих вопросы организации обработки и защиты персональных данных.

6.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов Субъектов персональных данных в рамках утвержденных процессов и/или ВНД/ОРД Общества, определяющих, в частности:

  • правовые основания (условия) и источники сбора (получения) персональных данных;
  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных;
  • сроки обработки, в том числе хранения персональных данных;
  • обязанности Владельцев процессов и ИСПДн, этапы/операции (действия) и способы обработки персональных данных;
  • порядок доступа Работников Общества к персональным данным и их обработке;
  • порядок передачи персональных данных Третьим лицам/Партнерам Общества/иным лицам (если применимо, в том числе государственным органам и/или учреждениям, государственным внебюджетным фондам, органам местного самоуправления, судебным органам), порядок распространения персональных данных в отношении неопределенного круга лиц;
  • порядок уточнения (обновления, изменения) персональных данных;
  • порядок архивного хранения документов, содержащих персональные данные;
  • порядок прекращения обработки и уничтожения или обеспечения уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества).

Указанные процессы и/или ВНД/ОРД Общества не могут противоречить положениям законодательства РФ и Политики. В случае противоречия между процессами и/или ВНД/ОРД Общества и положениями законодательства РФ и/или Политики указанные процессы и/или ВНД/ОРД Общества должны быть приведены в соответствие с положениями Политики и законодательства РФ.

6.3. В Обществе определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Общества, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции Работников Общества и/или в трудовые договоры, в том числе, если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению безопасности (конфиденциальности, целостности, доступности) персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных Работники Общества, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, проходят ознакомление под подпись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, а также с требованиями ВНД Общества, регламентирующих вопросы обработки и защиты персональных данных.

6.4. При обработке персональных данных в Обществе обеспечивается своевременное уточнение (обновление, изменение) персональных данных Субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:

  • обращения в Общество Субъекта персональных данных, его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), Надзорного органа с документами и/или информацией, подтверждающими факт неточности и необходимость изменения персональных данных;
  • установления Обществом расхождений между ранее полученными персональными данными Субъекта персональных данных и персональными данными, предоставленными Субъектом персональных данных, его Представителем, (обладающим полномочиями на представление интересов Субъекта персональных данных), Надзорным органом наряду с подтверждающими документами и/или информацией.

6.5. Получение Обществом персональных данных от Третьего лица, Партнера Общества, государственных органов и учреждений, государственных внебюджетных фондов, органов местного самоуправления, Банка России, судебных органов, иных лиц (если применимо) и/или передача (предоставление, доступ) персональных данных указанным лицам допускается при наличии соответствующих оснований, предусмотренных законодательством РФ и в соответствии с требованиями ВНД Общества.

Трансграничная передача персональных данных осуществляется с учетом условий и ограничений, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», и в соответствии с ВНД Общества по вопросам организации обработки и защиты персональных данных. До начала Трансграничной передачи персональных данных проводится оценка мер, принимаемых Иностранным получателем персональных данных, которому планируется Трансграничная передача персональных данных, по обеспечению безопасности (конфиденциальности, целостности, доступности) персональных данных. Порядок проведения оценки устанавливается ВНД Общества. О планируемой Трансграничной передаче персональных данных Общество уведомляет Надзорный орган в порядке, предусмотренном законодательством РФ и ВНД Общества.

6.6. Обработка персональных данных прекращается при достижении целей такой обработки, по истечении срока, предусмотренного законодательством РФ, договором или согласием Субъекта персональных данных на обработку его персональных данных, а также при прекращении действия иных правовых оснований на обработку персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных и/или направления требования о прекращении обработки персональных данных Общество вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при условии наличия иных правовых оснований на обработку персональных данных (условий обработки персональных данных), предусмотренных /1/.

6.7. В случае достижения целей обработки персональных данных, истечения сроков обработки персональных данных, при прекращении действия правовых оснований на обработку персональных данных (условий обработки персональных данных), а также в иных случаях, предусмотренных законодательством РФ, Общество в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Общества). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются Материальные носители персональных данных. По результатам проведенного уничтожения в соответствии с требованиями /37/ и ВНД Общества по вопросам организации обработки и защиты персональных данных составляется акт об уничтожении персональных данных по форме, установленной ВНД Общества, и формируется запись в электронном журнале регистрации событий, или, в случае утраты силы, признания недействующим Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» полностью или в части, в соответствии с применимыми положениями законодательства РФ.

7. Порядок рассмотрения обращений и/или запросов Субъектов персональных данных

7.1. В целях соблюдения прав и законных интересов Субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений Субъектов персональных данных, а также контроль обеспечения такого приема и обработки.

При рассмотрении обращений и/или запросов Субъектов персональных данных Общество руководствуется положениями законодательства РФ, согласно которым запрос и/или обращение, направляемые Субъектом персональных данных, должны содержать информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов персональных данных производится Обществом в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа Субъекту персональных данных на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» требований к продлению сроков с направлением в адрес Субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

Общество, получив обращение и/или запрос Субъекта персональных данных и убедившись в его законности, предоставляет Субъекту персональных данных и/или его Представителю, обладающему полномочиями на представление интересов Субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Обществом сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Общество вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления Субъекту персональных данных или его Представителю мотивированного отказа, если у Общества в соответствии с законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

Если иной порядок взаимодействия Общества и Субъекта персональных данных не предусмотрен соответствующим документом между ними (например, договором или текстом согласия на обработку персональных данных), Субъект персональных данных вправе направлять обращения и/или запросы на получение информации согласно ст. 14 /1/, касающейся обработки своих персональных данных Обществом одним из способов, указанных на официальном сайте Общества в разделе «Как обратиться в Общество». В таком запросе и/или обращении помимо требования Субъекта персональных данных, должны содержаться:

  • фамилия, имя, отчество Субъекта персональных данных (и его представителя, если обращение/запрос направлен представителем);
  • номер основного документа, удостоверяющего личность Субъекта персональных данных (или его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (например, дата и номер заключенного договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
  • подпись Субъекта персональных данных (или его представителя).

8. Меры обеспечения безопасности персональных данных

Для обеспечения безопасности (конфиденциальности, целостности, доступности) персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»., Обществом принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Общества). В частности, принимаются следующие меры:

  • определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
  • определяются типы угроз безопасности персональных данных, актуальных для ИСПДн, с учетом оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения требований Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».;
  • для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
  • для уничтожения персональных данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации;
  • проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
  • осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей, обеспечивается сохранность носителей персональных данных;
  • внедряются подсистемы аудита ИСПДн, которые осуществляют регистрацию и учет действий, совершаемых с персональными данными;
  • обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем;
  • организован режим обеспечения безопасности помещений и зданий, в которых размещены ИСПДн;
  • определяется и при необходимости актуализируется перечень лиц, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн, а также обеспечивается предоставление доступа исключительно тем лицам, которым он необходим для выполнения трудовых обязанностей;
  • обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;
  • назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн;
  • создано структурное подразделение, ответственное за обеспечение безопасности персональных данных в ИСПДн;
  • реализуется размещение ИСПДн Общества внутри защищенного периметра, расположенного в пределах контролируемой зоны;
  • обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, которым необходим указанный доступ для выполнения трудовых обязанностей;
  • реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн;
  • осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;

9. Права и обязанности Общества, права Субъекта персональных данных

9.1. Общество обязано:

  • соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
  • при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Обществу сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
  • в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
  • в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», с учетом установленных законодательством РФ исключений;
  • выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Надзорного органа;
  • принимать меры, направленные на обеспечение выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».;
  • принимать меры по обеспечению безопасности персональных данных при их обработке;
  • выполнять обязанности по устранению нарушений законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных законодательством РФ;
  • выполнять обязанности, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных, и/или отзыва согласия на обработку персональных данных, и/или правомерных и соответствующих требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» запросов, обращений;
  • взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • выполнять иные обязанности, предусмотренные законодательством РФ.

9.2. Общество имеет право:

  • обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • осуществлять передачу персональных данных Субъектов персональных данных Третьим лицам/Партнерам, государственным органам и/или учреждениям, государственным внебюджетным фондам, органам местного самоуправления, Банку России, судебным органам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных Третьим лицам/Партнерам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ;
  • самостоятельно, с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
  • реализовывать иные права, предусмотренные законодательством РФ.

9.3. Субъект персональных данных имеет право:

  • свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» к форме и содержанию согласий на обработку персональных данных;
  • направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством РФ;
  • требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав с учетом исключений, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • обратиться с требованием к Обществу прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
  • осуществлять иные права, предусмотренные законодательством РФ.

10. Заключительные положения

10.1. Политика вводится в действие и становится обязательной для исполнения всеми Работниками Общества с момента ее утверждения.

10.2. Политика может быть изменена в любой момент времени по усмотрению Общества.

10.3. В случае, если по тем или иным причинам одно или несколько положений Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.

10.4. Работники Общества несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных Трудовым кодексом РФ, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.

10.5. Политика в отношении обработки персональных данных Общества публикуется на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» по интернет-адресу: https://docs.flida.ru/legal/privacy-policy. К Политике обеспечивается неограниченный доступ.

© 2026 ООО «Флида»

Реквизиты

Previous Page

Создание приложения

Next Page

On this page

1. Общие положения2. Принципы обработки персональных данных3. Правовые основания обработки персональных данных4. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки, в том числе хранения персональных данных, порядок их уничтожения5. Основные участники системы управления процессом обработки и защиты персональных данных и их функции6.Организация процесса управления обработкой персональных данных7. Порядок рассмотрения обращений и/или запросов Субъектов персональных данных8. Меры обеспечения безопасности персональных данных9. Права и обязанности Общества, права Субъекта персональных данных10. Заключительные положения