Политика обработки персональных данных от 13 мая 2025 года

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

1.1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет политику компании ООО «Брюллов Менеджмент» (далее по тексту – Оператор) в отношении действий (операций) по обработке персональных данных и защите персональных данных, а также основные принципы, условия, способы и цели в отношении обработки информации о Субъектах персональных данных, которую Оператор и/или его партнеры могут обрабатывать при осуществлении своей хозяйственной деятельности.

1.2. Сфера действия

1.2.1. Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется Обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

1.2.2. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными Оператором к Обработке персональных данных, и лицами, участвующими в организации процессов Обработки персональных данных и обеспечения безопасности Персональных данных.

1.2.3. Для реализации целей настоящей Политики Оператор может разрабатывать и утверждать соответствующие документы.

1.2.4. Взаимодействие с Оператором (в том числе использование его услуг и результатов работ) подтверждает согласие Субъекта персональных данных с настоящей Политикой и указанными в ней условиями Обработки персональных данных.

1.3. Основные права и обязанности Сторон.

1.3.1. Субъект персональных данных.

1.3.1.1. Субъект персональных данных имеет право на получение следующей информации:

• правовые основания, цели и применяемые Оператором способы Обработки персональных данных;
• обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона №152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими Федеральными законами.

1.3.1.2. Право Субъекта персональных данных на доступ к его Персональным данным может быть ограничено в соответствии с действующим законодательством.

1.3.1.3. Субъект персональных данных вправе требовать от Оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки персональных данных, а также принимать предусмотренные законом меры по защите своих прав.

1.3.2. Оператор персональных данных.

1.3.2.1. Оператор персональных данных обязан:

• не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных»;
• в случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», осуществлять Обработку персональных данных только с согласия Субъекта персональных данных;
• если предоставление персональных данных является обязательным в соответствии с действующим законодательством, разъяснить Субъекту персональных данных юридические последствия отказа предоставить его Персональные данные и (или) дать согласие на их обработку;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных. Описание принимаемых мер приведено в разделе 6 настоящей Политики;
• по требованию Субъекта персональных данных внести изменения в обрабатываемые Персональные данные, или уничтожить их, если Персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели в порядке и сроки, предусмотренные действующим законодательством и настоящей Политикой;
• уведомлять Субъекта персональных данных об Обработке персональных данных в том случае, если Персональные данные были получены не от Субъекта персональных данных. Исключение составляют случаи, установленные п. 4 ст. 18 Федерального закона № 152-ФЗ «О персональных данных»;
• в случае выявления неправомерной Обработки персональных данных или неточных Персональных данных устранить выявленные нарушения;
• в случае отзыва Субъектом персональных данных согласия на Обработку своих персональных данных прекратить Обработку персональных данных и уничтожить персональные данные в срок, не превышающий десяти рабочих дней с даты поступления отзыва, если иное не предусмотрено действующим законодательством Российской Федерации;
• нести иные обязанности, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими Федеральными законами.

1.4. Утверждение и пересмотр Политики

1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Директором ООО «Брюллов Менеджмент» и действует бессрочно до ее отмены введением изменений в существующую Политику или иного локального акта. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте/сайтах Оператора в сети Интернет, либо иным способом.

Ответственным за изменение настоящей Политики является работник Оператора, назначенный ответственным за организацию Обработки персональных данных посредством издания приказа, или генеральный директор. Измененная Политика утверждается приказом Генерального директора ООО «Брюллов Менеджмент».

II. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).

Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие Обработку персональных данных, а также определяющие цели Обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными;

Субъект персональных данных - физическое лицо, к которому прямо или косвенно относятся Персональные данные.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.

Автоматизированная обработка персональных данных- Обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение Обработки персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание Персональных данных в Информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.

III. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор производит обработку только тех Персональных данных, которые необходимы для:

• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
• ведения бухгалтерского и налогового учета;
• выполнения обязательств Оператора по гражданско-правовым договорам и иным сделкам;
• организации операционной деятельности Оператора и иных процессов, в которых участвует Оператор, обеспечения функционирования принадлежащей Оператору инфраструктуры;
• организация пользования Интернет и Интранет-ресурсами Оператора;
• подготовки доверенностей и писем от имени Оператора;
• защиты прав и законных интересов Оператора и его работников в судах, органах по разрешению споров, а также органах административной юрисдикции;
• оказания услуг, осуществления работ и предоставления товаров физическим и юридическим лицам;
• обработки жалоб/сообщений (обратная связь);
• сбора и анализа статистических данных и показателей Оператора;
• реализации иных целей, в т.ч. предусмотренных уставными документами Оператора, заключаемыми Оператором договорами, соглашениями и другими сделками.

IV. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки Оператором персональных данных в порядке, предусмотренном настоящей Политикой, являются:

• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации».
• Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• иные нормативно-правовые акты Российской Федерации, в рамках осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• Учредительные документы Оператора, локальные нормативные акты Оператора, регулирующие вопросы Обработки персональных данных, заключаемые Оператором сделки, гражданско-правовые и иные договоры и соглашения.

V. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1. Оператором производится Обработка персональных данных следующих категорий Субъектов персональных данных:

• работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
• клиенты и контрагенты оператора (физические лица);
• представители/работники клиентов и контрагентов оператора (юридических лиц);
• посетители сайта Оператора brullov.pro (далее – «Сайт»);
• иные Субъекты персональных данных (для обеспечения реализации целей Обработки, указанных в Разделе III).

5.2. Перечень, категории и объем Персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Оператора и подготавливаемыми на их основании документами отдельно для каждого процесса, связанного с Обработкой персональных данных, с учетом целей, указанных в Разделе III.

5.3. На Сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс.Метрика).

VI. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Общий порядок Обработки персональных данных

6.1.1. При организации Обработки персональных данных Оператором соблюдаются следующие условия:

• Обработка персональных данных осуществляется на законной основе;
• Обработка персональных данных ограничивается достижением целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• Обработка персональных данных допустима только в отношении персональных данных, которые отвечают установленным целям;
• Содержание и объём обрабатываемых персональных данных соответствуют предусмотренным целям. Обрабатываемые персональные данные не являются избыточными по отношению к установленным целям;
• При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
• Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки персональных данных;
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуется для достижения поставленной цели, если иное не предусмотрено законом и настоящей Политикой.

6.1.2. По достижению поставленных целей или в случае утраты необходимости в достижении этих целей, полученные персональные данные подлежат уничтожению, если иное не предусмотрено действующим законодательством.

6.1.3. Оператор в своей деятельности исходит из того, что Субъект персональных данных предоставляет точную и достоверную информацию, а во время взаимодействия с Оператором своевременно извещает представителей Оператора об изменении своих Персональных данных.

6.2. Перечень действий и способы Обработки персональных данных:

6.2.1. Оператор может осуществлять обработку в т.ч.: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.

6.2.2. Обработка персональных данных осуществляется Оператором следующими способами:

• Неавтоматизированная Обработка персональных данных;
• Автоматизированная Обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• Смешанная Обработка персональных данных.

6.3. Условия Обработки персональных данных Субъектов персональных данных и ее передачи третьим лицам.

6.3.1. Оператор обрабатывает и хранит Персональные данные Субъектов персональных данных в соответствии с локальными нормативными актами, разработанными согласно законодательству РФ.

6.3.2. Порядок и сроки хранения Персональных данных, обрабатываемых Оператором, определяются в соответствии с действующим законодательством Российской Федерации с учетом целей Обработки персональных данных, указанных в Разделе III.

6.3.3. В отношении Персональных данных Субъекта персональных данных обеспечивается их конфиденциальность, целостность и доступность. Передача Персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия Субъекта персональных данных, а для выполнения требований законодательства РФ - в рамках установленной законодательством процедуры. В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Оператора к правопреемнику/приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им Персональным данным.

6.3.4. Оператор может поручить Обработку персональных данных другому лицу при выполнении следующих условий:

• получено согласие Субъекта персональных данных на поручение Обработки персональных данных другому лицу;
• для оказания услуг, осуществления работ и реализации товаров Субъекту;
• при продаже или иной передаче бизнеса Компании (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению Политики;
• в целях обеспечения возможности защиты прав и законных интересов Пользователей, партнеров, Компании или третьих лиц;
• иных случаях, предусмотренных действующим законодательством.

6.3.5. Подтверждением получения согласия на обработку персональных данных и передачу третьим лицам, с которыми у Оператора заключены соответствующие гражданско-правовые договора для достижения целей является Факт использования Субъектом сервисов (сайт, приложение и др.). В предусмотренных законодательством Российской Федерации случаях согласие дается в любой позволяющей подтвердить факт его получения форме, в том числе путем совершения действий, указанных на Сайте.

6.4. Лицо, осуществляющее Обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила Обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед Субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил Обработку персональных данных.

6.5. Актуализация, исправление, удаление и уничтожение персональных данных.

6.5.1. При достижении целей обработки Персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

6.5.2. Основанием для уничтожения персональных данных является:

• достижение цели обработки персональных данных;
• утрата необходимости в достижении цели обработки персональных данных;
• отзыв субъектом персональных данных согласия на обработку своих персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством Российской Федерации или договором. В таких случаях обработка персональных данных может продолжаться в рамках установленных законом требований.

6.5.3. В случае подтверждения факта неточности Персональных данных Персональные данные подлежат их актуализации, а в случае неправомерности их получения и обработки – прекращению и дальнейшему уничтожению.

6.5.4. Согласия субъекта персональных данных на обработку его персональных данных получается на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и/или действующим законодательством РФ.

VII. МЕРЫ, ПРИМЕНЯЕМЫЕ ОПЕРАТОРОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

7.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты Персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

7.2. К основным методам и способам обеспечения безопасности Персональных данных относятся:

• назначение Оператором, лица, ответственного за организацию Обработки персональных данных;
• издание Оператором, документов, определяющих политику оператора в отношении обработки персональных данных (Политика), локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.3. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности;

7.4. Применение правовых, организационных и технических мер по обеспечению безопасности Персональных данных в соответствии действующим законодательством, в том числе:

• применением организационных и технических мер по обеспечению безопасности Персональных данных при Обработке персональных данных в Информационных системах персональных данных, необходимых для выполнения требований к защите Персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• учетом машинных носителей Персональных данных;
• обнаружением фактов несанкционированного доступа к Персональным данным и принятием мер к предотвращению несанкционированного доступа;
• восстановлением Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к Персональным данным, обрабатываемым в Информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Персональными данными в Информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности Персональных данных и уровня защищенности Информационных систем персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия Обработки персональных данных действующему законодательству, требованиям к защите Персональных данных, политике Оператора в отношении Обработки персональных данных, локальным актам Оператора;
• ознакомление работников Оператора, непосредственно осуществляющих Обработку персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику Оператора в отношении Обработки персональных данных, локальными актами по вопросам Обработки персональных данных, и (или) обучение указанных работников.

7.5. Оператор вправе принимать иные меры необходимые для защиты Персональных данных в соответствии с действующим законодательством и локальными нормативными актами Оператора.

VIII. ПОЛИТИКА В ОТНОШЕНИИ COOKIE-ФАЙЛОВ

8.1. Сookie-файлы используются на Сайте для улучшения качества взаимодействия посетителей с Сайтом, позволяя Сайту запоминать посетителей на время их первого или во время повторных посещений. В некоторых случаях cookie- файлы используются для персонализации информации на Сайте, основываясь на местоположении.

8.2. Оператор использует cookie-файлы, которые необходимы для перемещения посетителей по Сайту или работы определенных основных функций. Сookie-файлы используются для улучшения функциональности Сайта, например, за счет сохранения настроек посетителя. Оператор также использует cookie- файлы для улучшения работы Сайта, чтобы улучшить качество взаимодействия посетителей с Сайтом.

8.3. Оператор не использует cookie-файлы для сбора информации, позволяющей идентифицировать посетителей. Во время посещения Сайта могут быть использованы следующие cookie-файлы:

• собственные файлы cookie устанавливаются Сайтом и могут считываться только Сайтом;
• cookie-файлы сторонних разработчиков устанавливаются другими организациями, сервисы которых используются Оператором. Например, провайдеры этих сервисов устанавливают cookie-файлы от имени Оператора, чтобы сообщать Оператору о том, какие из разделов на Сайте являются популярными: Яндекс.Метрика: https://yandex.ru/legal/confidential/
• Если посетитель не хочет получать cookie-файлы, он может настроить свой браузер таким образом, чтобы получать уведомления при каждой попытке отправки cookie-файлов или отклонять все cookie- файлы. Также можно удалить имеющиеся cookie-файлы. Все это необходимо сделать непосредственно в браузере.
• Если посетитель хочет ограничить или заблокировать cookie-файлы, размещаемые на его устройстве, он может это сделать при помощи настроек браузера согласно указаниям Справки данного браузера. Указания, как это сделать в браузере мобильного устройства, должны быть приведены в руководстве данного устройства.
• Сайт может содержать ссылки на другие сайты, находящиеся вне контроля Оператора и вне юрисдикции данной политики. Операторы этих сайтов могут собирать информацию о посетителях и использовать ее в соответствии с их политикой, которая может отличаться от политики Оператора.