Политика конфиденциальности и обработки персональных данных

<style>
    body{
        margin: 1em 2em;
    }
    h1 {
        text-align: center;
    }
    ol {
        list-style-type: none;
        counter-reset: item;
        margin: 0;
        padding: 0;
    }

    ol > li {
        display: table;
        counter-increment: item;
        margin-bottom: 0.6em;
    }

    ol > li:before {
        content: counters(item, ".") ". ";
        display: table-cell;
        padding-right: 0.6em;
    }

    li ol > li {
        margin: 0 0 1em;
    }

    li ol > li:before {
        content: counters(item, ".") " ";
    }
    h5{
        font-size: 1em;
    }
</style>
<h1>Политика конфиденциальности и обработки персональных данных</h1>

<h2>Настоящая политика конфиденциальности и обработки персональных данных утверждена Генеральным директором и принята ООО «Облтелеком» (Компания) (ИНН: 7733320798, ОГРН: 1177746456106, 125310, г. Москва, Пятницкое ш, дом № 43, корпус 1, кв. 148) и действует в отношении персональной информации, которую компания может получить от Пользователей.</h2>

<ol>
    <li><h3>Общие положения</h3>
        <ol>
            <li><h4>Цели и сфера действия Политики</h4>
                <p>Политика конфиденциальности и обработке персональных данных (далее - Положение) определяет требования к порядку обработки и защите (обеспечению безопасности) персональных данных субъектов, персональные данные которых обрабатываются ООО «Облтелеком» (далее - Компания) с использованием средств автоматизации, приложений и сайта (информационные системы) .</p>
                <p>Целью настоящего Положения является соблюдение прав и свобод человека и гражданина при обработке его персональных данных в информационных системах Компании при предоставлении доступа к сайту и приложению, в целях рассылки новостей, использования полученной информации для рекламы или улучшения контента. Обработка персональных данных абонентов Компании осуществляется с целью исполнения обязательств по договорам об оказании услуг связи.</p>
                <p>Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Компании.</p>
                <p>Действие Положения распространяется на все структурные подразделения Компании.</p>
            </li>
            <li><h4>Принципы обработки персональных данных</h4>
                <p>Обработка персональных данных осуществляется на основе принципов:
                    <ul>
                        <li>законности целей и способов обработки персональных данных и добросовестности;
                        <li>соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании, как оператора персональных данных;
                        <li>соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
                        <li>достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
                        <li>недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
                    </ul>
                </p>
            </li>
            <li><h4>Способы обработки персональных данных</h4>
                <p>Компания может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.</p>
            </li>
            <li><h4>Конфиденциальность персональных данных</h4>
                <p>В Компании документально оформляется перечень сведений конфиденциального характера.</p>
                <p>Компанией и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением следующих случаев:
                    <ul>
                        <li>в случае обезличивания персональных данных;
                        <li>в отношении общедоступных персональных данных.
                    </ul>
                </p>
            </li>
            <li><h4>Поручение обработки персональных данных третьему лицу</h4>
                <p>В случае если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.</p>
                </li>
            <li><h4>Хранение и уничтожение персональных данных</h4>
                <p>Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не больше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.</p>
            </li>
            <li><h4>Обработка персональных данных в целях продвижения товаров, работ, услуг</h4>
                <p>Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.</p>
            </li>
            <li><h4>Взаимодействие с федеральными органами исполнительной власти</h4>
                <p>Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Компанией, осуществляется в рамках законодательства Российской Федерации.</p>
            </li>
        </ol>
    </li>
    <li><h3>Субъекты персональных данных</h3>
        <p>Компанией осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
            <ul>
                <li>абоненты - физические лица, которых связывают с Компанией договорные отношения об оказании услуг связи, а также конечные пользователи абоненты - юридические лица;
                <li>работники - физические лица, вступившие в трудовые отношения с работодателем;
            </ul>
        </p>
        <ol>
            <li><h4>Категории персональных данных</h4>
                <p>В информационных системах Компании осуществляется обработка следующих категорий персональных данных:
                    <ul>
                        <li>Категория 1: персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию;
                        <li>Категория 2: персональные данные, позволяющие идентифицировать субъекта персональных данных;
                        <li>Категория 3: обезличенные и (или) общедоступные персональные данные.
                    </ul>
                </p>
            </li>
            <li><h4>Специальные категории персональных данных</h4>
                <p>В информационных системах Компании запрещена обработка следующих персональных данных:
                    <ul>
                        <li>Специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
                        <li>Сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные).
                        <li>Персональных данных о частной жизни, о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности.
                    </ul>
                </p>
                <p>Обработка специальных категорий персональных данных может осуществляться в следующих случаях:
                    <ul>
                        <li>субъект персональных данных дал согласие на обработку своих персональных данных;
                        <li>персональные данные являются общедоступными;
                        <li>персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
                    </ul>
                </p>
                <p>Компания не запрашивает и не обрабатывает персональные данные, относящиеся к состоянию здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
                    <ul>
                        <li>обработка персональных данных необходима в связи с осуществлением правосудия;
                        <li>обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-­розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
                    </ul>
                </p>
                <p>Обработка специальных категорий персональных данных, осуществлявшаяся в вышеперечисленных случаях, должна быть незамедлительно прекращена, если устранены  причины, вследствие которых осуществлялась обработка.</p>
            </li>
        </ol>
    </li>

    <li><h3>Мероприятия по обеспечению безопасности персональных данных</h3>
        <ol>
            <li><h4>Общие положения</h4>
                <p>Организация работ по обеспечению безопасности персональных данных осуществляется руководством Компании.</p>
                <p>Работники, ответственные за обеспечение безопасности персональных данных, в своей деятельности руководствуется настоящим Положением.</p>
                <p>Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным.</p>
            </li>
            <li><h4>Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке</h4>
                <ol>
                    <li><h5>Система защиты персональных данных</h5>
                        <p>Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.</p>
                        <p>При обработке персональных данных в информационных системах Компании должно быть обеспечено:
                            <ul>
                                <li>Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
                                <li>Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
                                <li>Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
                                <li>Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
                                <li>Постоянный контроль над обеспечением уровня защищенности персональных данных.
                            </ul>
                        </p>
                    </li>
                    <li><h5>Перечень мероприятий по обеспечению безопасности персональных данных</h5>
                        <p>Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
                            <ul>
                                <li>Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.
                                <li>Разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
                                <li>Проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.
                                <li>Установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.
                                <li>Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.
                                <li>Учет лиц, допущенных к работе с персональными данными в информационной системе.
                                <li>Контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
                                <li>Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
                            </ul>
                        </p>
                    </li>
                    <li><h5>Помещения, в которых ведется обработка персональных данных</h5>
                        <p>Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.</p>
                    </li>
                </ol>
            </li>
            <li><h4>Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации</h4>
                <p>Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.</p>
                <p>Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.</p>
                <p>При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.</p>
                <p>Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Компании или лица, осуществляющие такую обработку по договору с Компанией), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.</p>
            </li>
            <li><h4>Контроль и надзор за выполнением требований настоящего Положения</h4>
                <p>Контроль и надзор за выполнением требований настоящего Положения возлагается на руководителей структурных подразделений Компании.</p>
                <p>Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности, принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.</p>
            </li>
            <li><h4>Финансирование мероприятий по обеспечению безопасности персональных данных</h4>
                <p>Финансирование мероприятий по обеспечению безопасности персональных данных осуществляется за счет средств Компании.</p>
            </li>
        </ol>
    </li>

    <li><h3>Ответственность за нарушение требований настоящего положения</h3>
        <p>Лица, виновные в нарушении требований настоящего Положения, несут гражданскую,  административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.</p>
    </li>
</ol>