Политика MONT Azerbaijan в отношении обработки персональных данных
1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика MONT Azerbaijan (далее Оператор) в отношении обработки персональных данных (далее Политика) определяет основные цели, принципы, условия, и способы обработки персональных данных, перечни субъектов и персональных данных, обрабатываемых Оператором, права субъектов персональных данных; функции Оператора при обработке персональных данных, а также реализуемые у Оператора требования к защите персональных данных.
1.2. Политика направлена на обеспечение защиты прав и свобод физических лиц при обработке их персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.3. Политика разработана в соответствии с Законом Азербайджанской Республики от 11 мая 2010 года № 998-IIIQ «О персональных данных» (далее — Закон), требованиями Конституции АР и иными нормативными правовыми актами Азербайджанской Республики в области персональных данных.
1.4. Положения настоящей Политики являются основой для разработки внутренних нормативных документов, регламентирующих у Оператора вопросы и процессы обработки персональных данных его работников и других субъектов персональных данных.
1.5. Действие настоящей Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ
2.1. В соответствии с законом от 11.05.2010 № 998-IIQ «О персональных данных», в настоящей Политике используются следующие основные понятия:
- персональные данные — любая информация, позволяющая прямо или косвенно определить лицо;
- субъект персональных данных (далее — субъект) определенное или определяемое физическое лицо, персональные сведения о котором собираются, обрабатываются и защищаются;
- информационная система персональных данных — информационная система, обеспечивающая в установленном законодательством порядке сбор, обработку и защиту персональных данных;
- информационные ресурсы персональных данных — информационные ресурсы, накопленные в установленном законодательством порядке и объеме в информационных системах персональных данных, а также в отдельности;
- индивидуальный идентификационный номер — единый неповторимый код, присваиваемый в установленном порядке лицу, персональные данные о котором вносятся в информационные системы персональных данных, и позволяющий однозначно установить соответствующие сведения о лице;
- уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; персональные данные особой категории — сведения, относящиеся к расовой или национальной принадлежности, семейной жизни, религиозному вероисповеданию и убеждениям, здоровью или судимости;
- сбор персональных данных — получение в соответствии с законом в документированном порядке персональных данных о субъекте;
- обработка персональных данных — операции, проводимые с персональными данными (запись, систематизация, обновление, изменение, извлечение, обезличивание, хранение, передача, уничтожение);
- собственник персональных данных (далее — собственник) государственный орган или орган местного самоуправления, физическое или юридическое лицо, осуществляющие в установленном законодательством порядке полное право владения, пользования и распоряжения информационной системой или ресурсом персональных данных, определяющие цель обработки персональных данных;
- оператор персональных данных (далее — оператор) собственник персональных данных, осуществляющий сбор, обработку и защиту персональных данных, либо государственный орган или орган местного самоуправления, физическое или юридическое лицо, которым он поручил данные функции в определенном объеме и на определенных условиях;
- пользователь персональных данных (далее — пользователь) государственный орган или орган местного самоуправления, физическое или юридическое лицо, которым предоставлено право пользования персональными данными в пределах их полномочий и в установленных собственником порядке и объема в целях получения информации, необходимой только для них;
- распространение персональных данных — раскрытие персональных данных через средства массовой информации, а также информационные системы либо предоставление возможности ознакомления граждан с персональными данными иным способом;
- предоставление персональных данных — предоставление персональных данных пользователям посредством материальных носителей или информационных технологий по запросу в соответствии с законодательством;
- запрет на сбор и обработку персональных данных — прекращение любых операций с персональными данными;
- анонимизация персональных данных — приведение персональных данных в состояние, не позволяющее установить личность их субъекта;
- трансграничная передача персональных данных — передача персональных данных международным организациям, государственным органам или органам местного самоуправления других стран, юридическим или физическим лицам в соответствии с законодательством, установленным государственной границей Азербайджанской Республики;
- уничтожение персональных данных — удаление персональных данных в информационной системе, делающее невозможным последующее восстановление их содержания, либо уничтожение материальных носителей, содержащих персональные данные.
2.2 Для осуществления целей настоящей Политики используются следующие понятия:
- Административно-хозяйственная деятельность — внутренние процессы, направленные на текущее обеспечение деятельности Оператора товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота (ведение архива, библиотек, баз данных); на организацию эксплуатации зданий, помещений, территорий (содержание, уборка, оформление и ремонт помещений); на организацию рабочего процесса;
- информация — сведения (сообщения, данные) независимо от формы их представления;
- пользователь — лицо, использующее действующую автоматизированную систему либо сеть, для выполнения конкретной функции и решения стоящих перед ним задач;
- субъект персональных данных — определенное или определяемое физическое лицо, к которому относятся персональные данные;
- работник Оператора — физическое лицо, заключившее с Оператором трудовой договор;
- близкие родственники — лица, являющиеся родственниками по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры;
- кандидат — претендующее на вакантную должность физическое лицо, персональные данные которого получены Оператором;
- поставщик Оператора — термин, используемый при совместном упоминании корпоративного контрагента, т. е. юридическое лицо, индивидуальный предприниматель или физическое лицо, а также иностранное юридическое лицо, заключившее или имеющее намерение заключить с Оператором договор поставки товаров или продукции, выполнения работ или об оказании услуг;
- партнер Оператора — юридическое лицо, индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, заключившее или намеревающееся заключить с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором;
- представитель партнера, поставщика — физическое лицо, персональные данные которого переданы Оператору и:
- входящее в органы управления партнера, поставщика;
- являющееся владельцем, учредителем, акционером или участником партнера, поставщика;
- действующее от имени партнера, поставщика на основании доверенности или в силу трудовых обязанностей;
- розничный клиент — физическое лицо, которое заключило с Оператором договор на приобретение товаров или продукции, получение работ или услуг, выполненных или оказываемых Оператором, включая получение услуг путем присоединения к условиям публичного договора, и персональные данные которого переданы Оператору;
- контрагент Оператора — сторона по договору с Оператором;
- общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании закона, субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;
- биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;
- специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- доступ к персональным данным — ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Оператором, при условии сохранения конфиденциальности этих сведений;
- конфиденциальность персональных данных — обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Азербайджанской Республики;
- Трудовой кодекс Азербайджанской Республики;
- Закон Азербайджанской Республики от 11 мая 2010 года № 998-IIIQ «О персональных данных»;
- Закон Азербайджанской Республики от 03 апреля 1998 года № 460-IQ «Об информации, информатизации и защите информации»;
- Закон Азербайджанской Республики от 19 июня 1998 года № 505-IQ «О свободе информации»;
- Закон Азербайджанской Республики от 30 сентября 2005 года № 1024-IIQ «О приобретении информации»;
- Указ Президента Азербайджанской Республики «Об утверждении Правил ведения государственного реестра информационных систем индивидуальной информации» от 04 октября 2010 года;
- Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108, заключена в г. Страсбурге 28.01.1981).
3.2. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
- Положение об обработке и защите персональных данных у Оператора;
- локальные нормативные акты и документы (приказы, инструкции, журналы, уведомления и пр.), регламентирующие и отражающие у Оператора вопросы обработки и обеспечения безопасности персональных данных.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор собирает, обрабатывает и хранит только те персональные данные, которые необходимы.
4.2. Оператор осуществляет обработку персональных данных в целях:
- обеспечения соблюдения Конституции АР, законов и иных нормативных правовых актов Азербайджанской Республики, локальных нормативных актов Оператора;
- осуществления функций, полномочий и обязанностей, возложенных на Оператора, в том числе по предоставлению персональных данных в налоговые органы, Единый накопительный пенсионный фонд Азербайджанской Республики, в Государственный фонд социального страхования Азербайджанской Республики, в Фонд социального медицинского страхования, а также в иные органы;
- регулирования трудовых отношений с работниками Оператора (трудоустройство, обучение, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и т.д.);
- ведения кадрового делопроизводства и личных дел работников Оператора, в том числе предоставления отпусков и направления их в командировки;
- привлечения и отбора кандидатов на работу;
- заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- информирования и проведения Оператором мероприятий, акций, опросов, исследований;
- приема предложений о партнерстве и дальнейших переговоров;
- предоставления Субъекту персональных данных информации об оказываемых Оператором услугах, информирования о предложениях и разработке новых продуктов и услуг, а также об услугах дочерних обществ Оператора;
- формирования статистической отчетности, в том числе и для предоставления в налоговые и иные органы;
- обеспечения пропускного режима в помещения Оператора;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора, его дочерних обществ;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Азербайджанской Республики об исполнительном производстве;
- осуществления Оператором прав и законных интересов в рамках ведения административно-хозяйственной деятельности;
- регулирования трудовых и иных, непосредственно связанных с ними отношений;
- предоставления пользователю клиентской поддержки и сервиса;
- для достижения целей, предусмотренных законодательными актами Азербайджанской Республики по осуществлению и выполнению функций, полномочий и обязанностей, возложенных на Оператора законодательством АР.
4.3. Оператор не проверяет достоверность предоставленной Пользователем персональной информации и не осуществляет контроль ее актуальности. Всю ответственность, а также возможные последствия за предоставление недостоверной или не актуальной персональной информации несёт сам Пользователь.
5. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных на законной и справедливой основе с соблюдением следующих общих принципов:
- соответствия обработки персональных данных достижению конкретным, заранее определенным и законным целям;
- недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- осуществления обработки только персональных данных, отвечающих целям их обработки;
- соответствия содержания, объема, характера и способа обрабатываемых персональных данных заявленным целям их обработки;
- недопустимости избыточности обрабатываемых персональных данных по отношению к целям их обработки, заявленным при сборе персональных данных;
- обеспечения при обработке персональных данных их точности, достаточности и актуальности по отношению к целям обработки персональных данных;
- обеспечения и принятия необходимых мер по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен законодательством АР, договором, стороной которого, выгодоприобретателем или поручителем по которому, является Субъект персональных данных;
- уничтожения либо обезличивания обрабатываемых персональных данных по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом;
- обеспечения надлежащей защиты персональных данных, их конфиденциальности и безопасности обрабатываемых персональных данных.
5.2. Обработка персональных данных допускается в случаях:
- согласия субъекта персональных данных на обработку его персональных данных;
- предоставления субъектом персональных данных (либо по его просьбе) доступа неограниченному кругу лиц к персональным данным;
- наличия необходимости для достижения целей, предусмотренных Законом, для осуществления и выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством АР;
- участия субъекта персональных данных в гражданском, административном, уголовном и арбитражном судопроизводстве, а также для исполнения судебных актов, подлежащих исполнению в соответствии с законодательством АР;
- исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является или будет являться субъект персональных данных, а также при заключении договора по инициативе самого субъекта персональных данных;
- осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством АР;
- для осуществления прав и законных интересов Оператора или третьих лиц.
6. КЛАССИФИКАЦИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор осуществляет обработку следующих категорий субъектов персональных данных:
6.1.1. физических лиц, являющихся соискателями на замещение вакантных должностей —с согласия субъектов персональных данных, в составе и в сроки, необходимые для принятия Оператором решения о приеме либо отказе в приеме на работу, а также для формирования кадрового резерва;
6.1.2. физических лиц, входящих в органы управления Оператора — с согласия субъектов персональных данных,
- составе и в сроки, необходимые для достижения предусмотренных законодательством АР целей, для осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей;
6.1.3. физических лиц, состоящих в трудовых отношениях с Оператором, с его дочерними компаниями — в составе и в сроки, необходимые для достижения предусмотренных законодательством АР целей, для осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей, для формирования кадрового резерва, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления страхования;
6.1.4. физических лиц, являющихся родственниками работников Оператора — с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, а также для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе, и в целях предоставления страхования;
6.1.5. физических лиц, осуществляющих выполнение работ, оказание услуг и(или) поставку товаров и заключившие с Оператором договор гражданско-правового характера;
6.1.6. иностранных сотрудников Оператора (в дальнейшем — «экспатов») — с согласия субъектов персональных данных, в составе и в сроки, необходимые для достижения предусмотренных законодательством АР целей, для осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей, для оказания содействия экспатам при оформлении приглашений, виз и для постановки на миграционный учет, получения разрешения на работу, патента, для формирования кадрового резерва, а также для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе, и в целях предоставления страхования;
6.1.7. родственников экспатов Оператора — с согласия субъектов персональных данных, в составе и в сроки, необходимые для достижения предусмотренных законодательством АР целей, осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей, для оказания содействия при оформлении приглашений, виз и для постановки на миграционный учет, осуществления прав и законных интересов Оператора, а также для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, в том числе в целях предоставления страхования;
6.1.8. физических лиц, являющихся представителями существующих и потенциальных поставщиков Оператора
- с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками;
6.1.9. физических лиц, находящихся на иждивении у работника Оператора;
6.1.10. физических лиц, получающих доход от Оператора, но не состоящих с ним в трудовых отношениях — в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством АР на Оператора функций, полномочий и обязанностей;
6.1.11. физических лиц, являющихся представителями партнеров — с согласия субъектов персональных данных, в составе и в сроки, необходимые для осуществления взаимодействия с партнерами;
6.1.12. физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
6.1.13. физических лиц, выразивших согласие на обработку Оператором их персональных данных или физических лиц, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных законодательством АР, для осуществления и выполнения полномочий и обязанностей, возложенных законодательством АР на Оператора.
7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также если используются в целях, не заявленных ранее при предоставлении согласия на обработку персональных данных;
- отозвать свое согласие на обработку персональных данных;
- принимать предусмотренные законом меры по защите своих прав и законных интересов;
- получать для реализации своих прав и законных интересов от Оператора сведения, касающиеся обработки его персональных данных, при обращении к Оператору и при направлении запроса лично или с помощью представителя, с обязательным указанием в таком запросе необходимых сведений, предусмотренных Законом.
7.2. Субъекты, персональные данные которых обрабатываются Оператором, обязаны:
- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Азербайджанской Республики и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
7.3. Оператор вправе:
- обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
- требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
- ограничить доступ Субъекта персональных данных к его персональным данным в случае, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Азербайджанской Республики;
- обрабатывать общедоступные персональные данные физических лиц;
- в целях внутреннего информационного обеспечения Оператора, создавать внутренние справочные материалы, в которые, с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Азербайджанской Республики, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных;
- осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Азербайджанской Республики;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.
7.4. Оператор, обрабатывающий персональные данные субъектов персональных данных, обязан:
- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы;
- осуществлять оперативное и архивное хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Азербайджанской Республики;
- при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан АР с использованием баз данных, находящихся на территории Азербайджанской Республики, за исключением случаев, указанных в Законе.
7.5. Предоставление по запросам субъекта персональных данных или его представителя сведений, касающихся обработки его персональных данных, осуществляется Оператором в соответствии с требованиями Закона, а именно:
- сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя;
- сведения предоставляются субъекту персональных данных или его представителю Оператором в доступной форме, без содержания в таких сведениях персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных;/li>
- при отсутствии в обращении либо запросе субъекта персональных данных всех необходимых реквизитов документа, удостоверяющих личность субъекта персональных данных или его представителя, сведений, подтверждающих участие субъекта персональных данных в отношениях с Оператором, либо сведений, иным образом подтверждающих факт обработки персональных данных Оператором, а также подписи субъекта персональных данных или его представителя, Оператором направляется мотивированный отказ в соответствии с требованиями Закона. Запрос может быть подан письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Азербайджанской Республики.
- в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем данных, подтверждающих неполноту, неточность или неактуальность персональных данных, а также то, что такие персональные данные являются незаконно полученными или не являющимися необходимыми для заявленной цели обработки, Оператор вносит необходимые изменения в такие персональные данные или уничтожает их;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор прекращает их обработку, обеспечивает прекращение такой обработки (обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) или уничтожает персональные данные (сохранение персональных данных более не требуется для целей их обработки) в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
- в случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), а также обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен законодательством АР;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных частью Законом.
8. ФУНКЦИИ ОПЕРАТОРА И ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор обрабатывает персональные данные на законной и справедливой основе, для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, его работников и третьих лиц.
8.2. Перечень обрабатываемых Оператором персональных данных, определяется в соответствии с законодательством Азербайджанской Республики, локальными нормативными актами Оператора и с учетом целей обработки персональных данных.
8.3. Оператор получает персональные данные непосредственно у субъектов персональных данных, обрабатывает персональные данные субъектов с их согласия, которое может быть выражено также и путем совершения конклюдентных действий на интернет-сайте Оператора, в том числе, но не ограничиваясь, оформлением заказа, регистрацией в личном кабинете, подпиской на рассылку, в соответствии с настоящей Политикой.
8.4. Оператор осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Азербайджанской Республики.
8.5. Оператор предоставляет доступ к обрабатываемым персональным данным только тем работникам, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
8.6. Обработку персональных данных Оператор осуществляет с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Азербайджанской Республики.
8.7. Оператор обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих аффилированных лиц, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
8.8. Оператор обрабатывает персональные данные следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8.9. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
8.10. Оператор защищает персональную информацию Пользователя в соответствии с требованиями, предъявляемыми к защите такого рода информации, и несет ответственность за использование безопасных методов защиты такой информации.
8.11. Оператор вправе передавать персональную информацию Пользователя (в том числе организациям, осуществляющим запись, систематизацию, накопление, уточнение, хранение, извлечение, непосредственно осуществляющим направление Пользователю специальных предложений, информации о новых товарах и рекламных акциях, обработку запросов и обращений, а также осуществляющим уничтожение персональной информации) третьим лицам.
8.12. Для защиты персональной информации Пользователя, обеспечения ее надлежащего использования и предотвращения несанкционированного и/или случайного доступа к ней, Оператор применяет необходимые и достаточные технические и административные меры. Предоставляемая Пользователем персональная информация хранится на серверах с ограниченным доступом, расположенных в охраняемых помещениях.
8.13. Оператор не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
8.14. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:
\
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Азербайджанской Республики;
- назначение должностных лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;
- утверждение и исполнение локальных нормативных актов и иных документов, устанавливающих и регламентирующих у Оператора вопросы обработки, защиты и безопасности персональных данных;
- обеспечение раздельного хранения персональных данных и их материальных носителей, содержащих разные категории персональных данных и осуществление обработки которых, производится в разных целях;
- организация учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и без применения установленных у Оператора мер по обеспечению безопасности персональных данных (за исключением общедоступных и/или обезличенных персональных данных);
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- применение комплекса правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
- обеспечение неограниченного доступа к Политике, путем размещения ее на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечение регистрации и учёта всех действий с ними;
- осуществление оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона;
- определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
- применение организационных и технических мер, а также использование средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства о персональных данных, включая Закон, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора;
- осуществление иных мер, предусмотренных законодательством Азербайджанской Республики в области персональных данных.
8.15. Обеспечение безопасности обрабатываемых персональных данных осуществляется Оператором в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований Законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов.
8.16. Система информационной безопасности Оператора непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора.
9.2. Политика подлежит актуализации в случае внесения изменений в законодательные акты и нормативные документы по обработке и защите персональных данных.
9.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками, имеющими у Оператора доступ к персональным данным и/или участвующими в организации процессов обработки и обеспечения безопасности персональных данных.
9.4. Ответственность за нарушение требований законодательства Азербайджанской Республики и нормативных актов Оператора в сфере обработки и защиты персональных данных, определяется в соответствии с действующим законодательством АР.