1. Общие положения

1.1. Политика конфиденциальности Автономной некоммерческой организации «Байкальский центр Судебных экспертиз, Права и Землеустройства» (далее – Политика), находящейся по адресу: 664017, г. Иркутск, мкр. Радужный, 12, офис 309, разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами».
Цель настоящей Политики – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая Политика обязательна для исполнения всеми работниками Оператора.

1.2. Политика определяет порядок и условия обработки персональных данных работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором.

1.3. Политика опубликована в свободном доступе на официальном сайте Оператора: https://expertiza38.ru/, включая все поддомены и отдельные страницы, управляемые Оператором, на которых размещены формы для ввода персональных данных, а также иные адреса, которые могут использоваться для предоставления услуг и информационных материалов АНО «Байкальский центр Судебных экспертиз». Размещение настоящей Политики на сайте обеспечивает неограниченный доступ к ней любого лица.

1.4. Автономная некоммерческая организация «Байкальский центр Судебных экспертиз, Права и Землеустройства» (далее также – АНО «Байкальский центр Судебных экспертиз», Организация, Оператор) является оператором персональных данных в соответствии с Законом о персональных данных.

1.5. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.6. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.7. Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о персональных данных, а также при изменении целей и порядка обработки персональных данных у Оператора.

2. Основные понятия

Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку таких данных в соответствии с Законом о персональных данных.

Оператор персональных данных (Оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия (операции), совершаемые с ними.

Обработка персональных данных – любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая:

• сбор;

• запись;

• систематизацию;

• накопление;

• хранение;

• уточнение (обновление, изменение);

• извлечение;

• использование;

• передачу (распространение, предоставление, доступ);

• обезличивание;

• блокирование;

• удаление;

• уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу. Трансграничная передача осуществляется только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии письменного согласия субъекта.

Сайт – совокупность информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством сети Интернет по доменному имени expertiza38.ru, включая все поддомены, а также иные адреса, управляемые Оператором, на которых размещены формы для ввода персональных данных.

Пользователь – любое физическое лицо, посещающее Сайт.

Файлы cookie – данные, которые автоматически передаются в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, включая IP-адрес, данные о географическом положении, сведения о браузере и операционной системе, технические характеристики оборудования и программного обеспечения, дату и время доступа, а также иную техническую информацию. На Сайте могут использоваться сторонние сервисы веб-аналитики и обратной связи (например, Яндекс.Метрика, CRM-системы), которые могут собирать данные с помощью файлов cookie и иных технологий. Пользователь может отключить приём файлов cookie в настройках браузера, однако это может повлиять на корректность работы некоторых функций Сайта.

3. Цели обработки персональных данных

3.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. Обработка Оператором персональных данных осуществляется в следующих целях:

1. обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;

2. осуществление своей деятельности в соответствии с уставом Организации, в том числе информирование о направлениях деятельности и оказываемых услугах;

3. осуществление гражданско-правовых отношений;

4. рассмотрение обращений, запросов граждан и юридических лиц, а также их представителей, по вопросам деятельности Организации, расчёту стоимости услуг, исполнению заказов и иных обязательств, принятых АНО «Байкальский центр Судебных экспертиз» к исполнению, в том числе направленных Пользователями через формы обратной связи Сайта Оператора, по электронной почте, мессенджерам или иным каналам связи;

5. ведение бухгалтерского и налогового учёта, исполнение обязанностей, предусмотренных налоговым законодательством, включая обеспечение сохранности документов, необходимых для исчисления и уплаты налогов;

6. направление информационных и/или рекламных материалов при наличии согласия субъекта персональных данных, если такое согласие требуется по закону, в том числе с помощью средств связи, по сетям электросвязи, посредством телефонной и подвижной радиотелефонной связи, а также по сети «Интернет».

4. Правовые основания обработки персональных данных

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

1. Конституция Российской Федерации;

2. Гражданский кодекс Российской Федерации;

3. Кодекс Российской Федерации об административных правонарушениях;

4. Налоговый кодекс Российской Федерации;

5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

6. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;

7. Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

8. Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей» (в части взаимодействия с физическими лицами);

9. иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

4.2. Правовым основанием обработки персональных данных также являются:

1. устав Организации;

2. договоры (в письменной или электронной форме), заключаемые между Оператором и субъектами персональных данных;

3. согласие субъектов персональных данных на обработку их персональных данных;

4. законные интересы Оператора при условии, что такая обработка не нарушает права и свободы субъекта персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:

5.2.1. Физические лица, состоящие с Оператором в гражданско-правовых отношениях, а также имеющие намерение вступить в такие отношения:

1. фамилия, имя, отчество;

2. число, месяц, год рождения;

3. место рождения;

4. пол;

5. сведения о гражданстве;

6. номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

7. адрес регистрации по месту жительства;

8. номера контактных телефонов и адрес электронной почты;

9. идентификационный номер налогоплательщика;

10. страховой номер индивидуального лицевого счёта (СНИЛС);

11. сведения об образовании, повышении квалификации, профессиональной подготовке, ученой степени, звании (если применимо к оказанию услуг);

12. сведения о реквизитах счёта для перечисления платежей.

5.2.2. Клиенты и контрагенты Оператора, включая их представителей (физических лиц):

1. фамилия, имя, отчество;

2. число, месяц и год рождения;

3. место рождения;

4. номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем его органе;

5. адрес регистрации по месту жительства;

6. номера контактных телефонов и адрес электронной почты;

7. идентификационный номер налогоплательщика;

8. сведения о реквизитах счёта для перечисления выплат.

5.2.3. Пользователи Сайта (физические лица, в т.ч. представители юридических лиц):

1. фамилия, имя, отчество;

2. номера контактных телефонов и адрес электронной почты;

3. данные файлов cookie.

Персональные данные Пользователей Сайта используются для целей рассмотрения обращений и запросов по вопросам деятельности Организации, оказания услуг, направленных через формы обратной связи на Сайте, а также направления информационных материалов при наличии согласия субъекта персональных данных (если оно требуется по закону).

5.2.4. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

1. фамилия, имя, отчество;

2. номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем его органе;

3. номера контактных телефонов и адрес электронной почты;

4. замещаемая должность.

5.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.4. На Сайте происходит сбор и обработка обезличенных данных о посетителях (файлов cookie). Пользователь имеет право в любой момент отключить приём файлов cookie посредством выполнения соответствующих настроек своего Интернет-браузера. Отключение cookie может повлечь некорректную работу некоторых элементов Сайта.

6. Основные права и обязанности субъекта персональных данных и Оператора

6.1. Субъект персональных данных имеет право:

1. на доступ к его персональным данным и следующим сведениям:

• подтверждение факта обработки персональных данных Оператором;

• правовые основания и цели обработки персональных данных;

• применяемые Оператором способы обработки персональных данных;

• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

• информация о способах исполнения Оператором обязанностей в соответствии со ст. 18.1 Закона о персональных данных, а также иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

1. направлять Оператору запросы и обращения, в том числе об уточнении, блокировании или уничтожении персональных данных;

2. отзывать согласие на обработку персональных данных в случаях и порядке, установленных законодательством;

3. обжаловать действия или бездействие Оператора.

6.2. Оператор имеет право:

1. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации или согласовано с субъектом;

2. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;

3. осуществлять обработку персональных данных субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации;

4. отстаивать свои интересы в судебных органах.

6.3. Оператор обязан:

1. организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;

2. использовать полученную информацию исключительно для целей, указанных в настоящей Политике;

3. при сборе персональных данных предоставить информацию об обработке персональных данных субъекту персональных данных по его просьбе;

4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

6. давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных в соответствии с Законом о персональных данных.

7. Порядок и условия обработки и хранения персональных данных

7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

7.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

7.3. Оператор осуществляет автоматизированную и (или) неавтоматизированную обработку персональных данных, полученных от пользователей через формы на Сайте, по электронной почте, в мессенджерах или иными способами, необходимыми для взаимодействия с клиентами.

7.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит взаимодействие с клиентами и работа с информационными системами.

7.5. Обработка персональных данных осуществляется путем:

1. получения данных через формы обратной связи, запросы по электронной почте, в мессенджерах и при личном взаимодействии;

2. внесения данных в информационные системы Оператора;

3. использования иных способов обработки, необходимых для оказания услуг и взаимодействия с клиентами.

7.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта, если иное не предусмотрено федеральным законом.

7.7. Передача персональных данных государственным органам и иным уполномоченным организациям осуществляется в случаях, предусмотренных законодательством Российской Федерации.

7.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

7.9. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки, если срок хранения не установлен федеральным законом или договором.

7.10. При сборе персональных данных через Интернет Оператор обеспечивает их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.

7.11. Уничтожение персональных данных осуществляется по достижении целей их обработки, при отзыве согласия или в случае утраты необходимости в их хранении, если иное не предусмотрено законодательством. Уничтожение производится безопасными способами, исключающими восстановление данных, с оформлением соответствующего акта.

8. Защита персональных данных

8.1. Оператор принимает правовые, организационные и технические меры для обеспечения безопасности персональных данных при их обработке, хранении и передаче, в соответствии с требованиями законодательства Российской Федерации.

8.2. Защита персональных данных обеспечивается комплексом мер, включающим:

• правовую защиту (разработка и применение локальных нормативных актов, определяющих порядок обработки и защиты персональных данных);

• организационную защиту (разграничение доступа, определение ответственных лиц, контроль действий с персональными данными);

• техническую защиту (использование программных и аппаратных средств для предотвращения несанкционированного доступа и утечки данных).

8.3. Основные меры, применяемые Оператором:

1. назначение ответственного за организацию обработки и защиту персональных данных;

2. определение и актуализация угроз безопасности персональных данных, разработка мер по их предотвращению;

3. установление правил доступа к персональным данным и фиксация действий пользователей информационных систем;

4. применение уникальных паролей доступа и ограничение прав доступа в соответствии с должностными обязанностями;

5. использование сертифицированных средств защиты информации и антивирусного ПО с регулярным обновлением;

6. хранение персональных данных в условиях, исключающих несанкционированный доступ;

7. принятие мер при выявлении фактов несанкционированного доступа, включая восстановление модифицированных или уничтоженных данных;

8. обучение работников, имеющих доступ к персональным данным, правилам их обработки и защиты;

9. проведение внутреннего контроля и аудита соблюдения требований законодательства и локальных нормативных актов в области защиты персональных данных.

9. Актуализация, исправление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

9.1. Оператор предоставляет субъекту персональных данных или его представителю сведения, указанные в части 7 статьи 14 Закона о персональных данных, включая подтверждение факта обработки, правовые основания и цели обработки, а также иные предусмотренные законом сведения. В предоставляемую информацию не включаются персональные данные других субъектов, за исключением случаев, установленных законодательством.

9.2. Запрос субъекта персональных данных должен содержать:

1. номер документа, удостоверяющего личность, сведения о дате его выдачи и выдавшем органе;

2. сведения, подтверждающие факт взаимодействия с Оператором (например, номер и дату договора, заявку, переписку или иные данные);

3. подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в письменной форме либо в виде электронного документа, подписанного электронной подписью в соответствии с законодательством РФ.

9.3. Если запрос оформлен с нарушением требований Закона о персональных данных либо субъект не обладает правами на доступ к указанным сведениям, Оператор направляет мотивированный отказ. Доступ к персональным данным может быть ограничен в случаях, предусмотренных частью 8 статьи 14 Закона о персональных данных, включая ситуации, когда предоставление информации нарушает права и законные интересы третьих лиц.

9.4. При выявлении неточности персональных данных по обращению субъекта или по запросу уполномоченного органа Оператор блокирует соответствующие данные на время проверки, если это не нарушает права и интересы субъекта или третьих лиц. В случае подтверждения неточности данные уточняются в течение семи рабочих дней с момента предоставления подтверждающих сведений, после чего блокировка снимается.

9.5. В случае выявления неправомерной обработки персональных данных Оператор незамедлительно блокирует их на период проверки.

9.6. Персональные данные подлежат уничтожению при достижении целей обработки или в случае отзыва согласия на их обработку, если:

1. иное не предусмотрено договором, стороной или выгодоприобретателем по которому является субъект;

2. обработка не допускается без согласия в силу закона;

3. иное не установлено соглашением между Оператором и субъектом.

10. Разрешение споров

10.1. До обращения в суд по спорам, возникающим из отношений между субъектом персональных данных и Оператором, стороны обязаны соблюсти претензионный порядок урегулирования: направить письменную претензию с предложением о добровольном урегулировании спора.

10.2. Оператор рассматривает претензию и направляет письменный ответ в течение 7 календарных дней со дня ее получения.

10.3. При недостижении соглашения спор подлежит рассмотрению в судебном порядке в соответствии с действующим законодательством Российской Федерации.

11. Заключительные положения

11.1. Настоящая Политика является локальным нормативным актом Оператора, является общедоступной и во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Оператора по адресу: https://expertiza38.ru/.

11.2. Использование сервисов сайта Оператора означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с условиями Политики Пользователь обязан воздержаться от использования сервисов сайта.

11.3. Политика подлежит изменению и дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных. Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора.

11.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.