1. Общие положения
Политика по обработке и защите персональных данных (далее Политика) определяет общие принципы, цели, сроки и порядок обработки и передачи персональных данных (ПДн), меры по обеспечению безопасности ПДн в АО «Базовые Решения» (далее – Компания).
Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований федерального законодательства в области ПДн для контрагентов Компании.
Политика в отношении обработки ПДн разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, иных федеральных законов и нормативных правовых актов Российской Федерации в области ПДн и требований к обеспечению их безопасности.

2. Список сокращений и понятий
Персональные данные (или ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
Безопасность ПДн – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
Конфиденциальность ПДн – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
Субъект ПДн – физическое лицо, к которому относятся персональные данные;
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
Общедоступные ПДн – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании законодательства, субъектом ПДн либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;
Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, технических средств;
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Компания – АО «Базовые Решения»;
Контрагенты – лица, с которыми у Компании существуют договорные отношения или с которыми Компания намерена вступить в договорные отношения.

3. Обработка и защита персональных данных в Компании
3.1. Принципы обработки ПДн
Компания осуществляет сбор ПДн согласно законодательству Российской Федерации и устава Компании в целях осуществления деятельности.
Объем, обработка, хранение и утилизация ПДн сотрудников Компании описаны в ПЛЖ-12 Положение об обработке персональных данных.
ПДн обрабатываются (в том числе (но, не ограничиваясь), собираются, хранятся, обезличиваются, распространяются (включая трансграничную передачу), накапливаются, систематизируются, копируются, уточняются) для целей направления пользователю информационных материалов: о мероприятиях Компании, предоставляемых услугах, подготовленных исследованиях Компании, публикациях на веб-сайте Компании, а также для установления личных контактов с субъектом ПДн.
Обработка ПДн осуществляется на законной и беспристрастной основе. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Компания принимает все необходимые меры для обеспечения безопасности ПДн при их обработке.
Компания соблюдает права и законные интересы субъектов ПДн и обеспечивает их защиту при обработке ПДн.
Компания может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим личное обязательство по обеспечению конфиденциальности полученных сведений в целях обработки данных. ПДн могут быть доведены до сведения иных лиц исключительно в статистически обработанном виде, исключающем возможность идентификации пользователя, к которому относятся данные.
Владелец ПДн в праве получить информацию об относимых к нему ПДн или изменить предоставленную им информацию. В случае, если пользователь не согласен с условиями обработки данных или намерением Компании направлять пользователям информационные материалы, пользователь может направить свои возражения на почту Компании info@basic-solutions.ru или в письме по адресу: Российская Федерация, 125167, г. Москва, Ленинградский пр-т, д. 37А, корп.4.
Сотрудники Компании, имеющие доступ к ПДн обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн.
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, подписывая Согласие на распространение персональных данных в зависимости от целей обработки и\или передачи ПДн. При заполнении какой-либо формы на сайте Компании, субъект ПДн дает согласие на использование персональных данных в целях обработки обращения, в зависимости от типа обращения:

• установления связи с администратором сайта basic-solutions.ru, включая направление уведомлений, запросов;
• получения пользователем информации о маркетинговых событиях;
• регистрации клиентов компании на сайте для получения доступа к сервисам, в том числе личному кабинету;
• регистрации на маркетинговые мероприятия, организуемые Компанией.

3.2. Цели сбора ПДн
Компания обрабатывает ПДн исключительно для тех целей, для которых они были предоставлены, в том числе:

• регистрации контрагентов на сайте Компании для предоставления доступа к его отдельным разделам;
• предоставления контрагентам информации о Компании, услугах и мероприятиях, организованных Компанией для контрагентов и сотрудников;
• реагирования на обращения контрагентов и предоставления ответов на запросы о дополнительной информации;
• организации участия контрагентов и сотрудников в проводимых Компанией мероприятиях и опросах;
• направления контрагентам новостных материалов Компании;
• предоставления резюме;
• выполнения правовых, нормативных и профессиональных обязательств, возложенных на Компанию законодательством Российской Федерации. Компания владеет документацией для подтверждения выполнения своих обязательств в процессе предоставления услуг. Данная документация может содержать ПДн.
• предоставления или получения профессиональных услуг;
• развития деятельности и услуг Компании;
• предоставления ПДн сотрудникам Компании для целей оказания услуг и привлечения новых клиентов;
• определения клиентов с аналогичными потребностями;
• выполнения аналитического исследования рыночных тенденций, схем взаимоотношений и перспектив для осуществления продаж;
• проверки благонадежности контрагентов;
• администрирования процессов управления деятельностью Компании и услугами и их развития, в том числе:

- управления отношениями с контрагентами Компании;
- развития услуг и направлений деятельности Компании (дополнительно определение потребностей клиентов и возможностей, чтобы повысить эффективность и качество оказания услуг);
- сопровождения и использования соответствующих ИС;
- проведения или организации проведения мероприятий;
- администрирования сайта, систем и управления ими.

• выполнения мероприятий по обеспечению безопасности, качества и управлению рисками, в том числе:

- обнаружения, расследования и устранения угроз безопасности;
- контроля качества предоставляемых услуг и управления рисками в отношении контрагентов Компании в рамках договора с контрагентами;
- контроля качества услуг и управления рисками в отношении контрагентов Компании в рамках процедур, описанных в Компании;
- предоставления информации о заказах;
- оформление трудовых отношений в соответствии с Трудовым кодексом РФ;
- ведение бухгалтерского и налогового учета и отчетности в рамках трудовых отношений;
- личное страхование работника и родственников, которых он страхует (ДМС, страхование жизни, здоровья и т.п.);
- обеспечение возможности работнику исполнения его должностных обязанностей при выполнении работ на объектах заказчиков (организация доступа на объекты, анализ информации об опыте проектной команды и т.п.).
Цели передачи ПДн работников Компании:

• участие Компании в конкурсах, тендерах или иных подобных мероприятиях, в случае если предоставление ПДн работников обязательно для участия и победы в таких мероприятиях;
• обеспечение возможности работнику исполнения его должностных обязанностей при выполнении работ на объектах заказчиков (организация доступа на объекты, анализ информации об опыте проектной команды и т.п.);
• обеспечение перечисления денежных средств на личный банковский счет работника в рамках зарплатного проекта;
• оказание услуг по добровольному групповому медицинскому страхованию, коллективному страхованию жизни и иным видам личного страхования работников Компании;
• бронирование мест и приобретение проездных документов при организации служебных командировок;
• организация проживания в гостиницах на территории РФ и за рубежом при организации служебных командировок;
• управление доступом работника на территорию Компании, охрану которой осуществляет охранное предприятие с которой у организации заключен контракт;
• приём, обучение и аттестация по программам профессиональной подготовки и повышения квалификации в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• ведение учёта личных дел работников, а также хранение личных дел в архиве на бумажных и/или электронных носителях, в автоматизированных системах обработки данных;
• ведение учёта результатов освоения работниками образовательных программ профессиональной подготовки и повышения квалификации, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях, в автоматизированных системах обработки данных;
• выдача дипломов о профессиональной переподготовке, удостоверений о повышении квалификации, справок о прохождении обучения;
• восстановление и выдача дубликатов документов, подтверждающих обучение, в случае их утери.

Компания обрабатывает технические данные для обеспечения функционирования и безопасности сайта Компании, улучшения качества сайта. Сбор ПДн осуществляется только по предварительному согласию владельца ПДн.
Компания не размещает ПДн в общедоступных источниках. Компания не действует и не принимает решения, которые влекут для владельцев ПДн юридические последствия или иным образом затрагивающих права и законные интересы.

3.3. Категории субъектов и объем обрабатываемых ПДн
ПДн, предоставляемые Компании, передаются в объеме, определенном законодательством Российской Федерации, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов на такую передачу ПДн не требуется.
Компания разделяет следующие виды субъектов ПДн:

1. Работники Компании. Компания обеспечивает исполнение заключенных трудовых договоров, личную безопасность Работников, контроль количества и качества выполняемой работы, сохранность имущества; ведение воинского учёта граждан; расчет и выплату заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов; предоставление Работникам дополнительных услуг за счет работодателя (добровольное медицинское страхование, перечисление доходов на платежные карты Работников, обеспечение командировок и пр.) и пр..
2. Члены семей работников. Компания предоставляет работникам льготы и гарантии, предусмотренные законодательством РФ; исполняет требования Трудового Кодекса РФ об информировании родственников о несчастных случаях; выполняет требования нормативных правовых актов органов государственного статистического учета; Компания предоставляет страхование жизни и медицинское страхование Членов семей работников;
3. Соискатели – Компания принимает решение о возможности замещения вакантных должностей кандидатами, наиболее соответствующих требованиям Компании;
4. Участники Общества. Компания ведет список Участников;
5. Представители контрагентов. Компания выполняет нормы Гражданского кодекса РФ, регулирующих договорную работу, заключение и исполнение договоров с контрагентами;
6. Потенциальные контрагенты. Компания осуществляет оценку благонадежности контрагентов перед заключением договорных обязательств.
7. Пользователи сайта. Предоставление возможности отправить запрос Компании или оставить комментарий с использованием веб-формы на сайте для отправления электронного письма на официальную почту Компании info@basic-solutions.ru;
8. Представитель субъекта. Компания выполняет действия, связанные с обращением Представителей субъектов ПДн;
9. Посетители Компании. Для данной категории Компания обеспечивает возможность прохода в охраняемое служебное здание, где находится офис, лиц, не имеющих постоянных пропусков.

3.4. Список максимально возможных ПДн, собираемых на сайте Компании basic-solutions.ru
Чтобы обеспечить соблюдение прав пользователей сайта Компании в области защиты ПДн, контактная информация и иные относящиеся к субъектам сведения: указанные в таблице, ПДн, предоставленные пользователем (если предоставлялись, например, при участии в онлайн опросах и в иных случаях), вносятся в электронную базу. Предоставление пользователям ПДн, путем ввода их в специальное поле на сайте, является согласием на обработку ПДн в соответствии с условиями и целями, указанными в данной Политике.
Список ПДн, которые Компания может собирать на сайте:
Интернет-сайт Компании носит исключительно информационный характер, не является публичной офертой, определяемой положениями ч. 2 ст. 437 Гражданского кодекса Российской Федерации. Информация, размещенная на сайте, подготовлена для создания общего представления о деятельности Компании, оказываемых услугах. Чтобы получить информацию о предоставляемых услугах, их стоимости и сроке выполнения, необходимо обратиться к специалистам Компании, используя контакты Компании.
Гарантии относительно точности и полноты информации, представленной в публикациях сайта, не предоставляются. Если иное не предусмотрено законодательством Российской Федерации. Компания не несет ответственность за любые последствия, возникшие в связи с чьими-либо действиями (бездействиями), основанными на информации, содержащейся на сайте, или за принятие решений на основании информации, представленной в публикациях на сайте.
Размещенные на сайте цитаты оформлены в информационных целях в объеме, оправданном для цитирования согласно ст. 1274 ГК РФ.
Все используемые на сайте торговые марки принадлежат их владельцам. Компания не преследует экономическую или другую выгоду от использования логотипов и торговых марок. Текстовые и графические элементы торговых марок используются исключительно в целях информирования и могут быть убраны по заявлению правообладателя.
Компания опирается на принятые внутренние Политики и Положения, или в случае различий выпущенными отдельными изданиями, находящиеся по тем же ссылкам с уточнением наименования Компании в названии.

3.5. Категории ПДн, передаваемых Компанией
Компания осуществляет передачу ПДн сотрудников Компании: кредитным организациям, операторам электронного документооборота органам власти и государственным внебюджетным фондам, в которые Компания перечисляет средства сотрудников или средства для зачисления на счет сотрудников. Такими организациями являются: территориальное отделение Пенсионного фонда РФ, Федеральная налоговая служба, Федеральный фонд обязательного медицинского страхования, Фонд социального страхования РФ. В военные комиссариаты ПДн предоставляются в случаях, предусмотренных законодательством. Компания передает оператору связи ПДн, которые включают сведения о пользователях корпоративных услуг связи (фиксированная и мобильная телефония, доступ в сеть Интернет) в соответствии с требованиями законодательства.
Указанным операторам предоставляются ПДн в объеме, определенном законодательством РФ. Специального согласия субъектов на данную передачу ПДн не требуется.
Компания передает

1. Общедоступные ПДн, которые включают:

• Фамилию, имя и отчество;
• Место, где человек родился или проживает;
• Возраст;
• Профессия, образование;
• Дату рождения;
• Электронная почта;
• Контактный номер;
• Должность;
• Гражданство;
• Паспортные данные (номер, серия, когда и кем выдан);

В рамках судебного производства, по решению суда или при возникновении риска для жизни и здоровья субъекта, Компания может передать:

1. Специальные ПДн:

• Сведения о семейном положении;
• Номер страхового свидетельства обязательного пенсионного страхования;
• Номера полисов обязательного и добровольного медицинского страхования;
• Индивидуальный номер налогоплательщика;
• Данные заграничного паспорта (номер, серия, когда и кем выдан);
• Государственные награды, участие в выборных представительских органах.

1. Иные сведения:

• Сведения об образовании и повышении квалификации;
• Сведения о владении иностранными языками;
• Сведения о допуске к работе с государственной тайной;
• Сведения о доходах по месту работы;
• Сведения о выполняемой работе с начала трудовой деятельности (время поступления и ухода, должность с указанием предприятия, учреждения, организации;
• Номера служебного и домашнего телефонов.

Категории ПДн для сотрудников, условия их передачи информации операторам зафиксированы в ПЛЖ-12 Положение об обработке персональных данных.

3.6. Защита персональных данных
В соответствии с требованиями нормативных документов в Компании создана система защиты ПДн (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.
Основными мерами защиты ПДн, используемыми Компанией, являются:

• назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн;
• определение актуальных угроз безопасности ПДн при их обработке в ИС ПДн и разработка мер и мероприятий по защите ПДн;
• разработка политики в отношении обработки ПДн;
• установление правил доступа к ПДн, обрабатываемым в ИС ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИС ПДн;
• установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• обучение работников Компании, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим;
• политику Компании в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
• осуществление внутреннего контроля и аудита.

3.7. Блокирование персональных данных
Под блокированием ПДн понимается временное прекращение Компанией операций по их обработке по требованию пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
Компания не передает ПДн третьим лицам и не поручает обработку ПДн сторонним лицам и организациям без наличия соответствующего согласия.

3.8. Хранение и уничтожение персональных данных
ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИС ПДн.
Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей.

3.9. Ответственность за обработку и обеспечение безопасности ПДн в Компании
В соответствие с приказом №17/2/1- адм от 28.09.2021 в Компании определены ответственные за управление Информационной безопасностью и проведение аудитов ИБ
В соответствие с приказом №16/1-адм от 28.06.2022 в Компании определены ответственные за организацию и обеспечение обработки и безопасности передаваемых ПДн

3.9.1. Прекращение обработки ПДн
Компания прекращает обработку ПДн субъектов:

1. при наступлении условий прекращения обработки ПДн или по истечении установленных сроков;
2. по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
3. по требованию субъекта, если обрабатываемые ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
4. в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки невозможно;
5. по истечении срока действия согласия субъекта на обработку ПДн или в случае отзыва субъекта такого согласия, если для обработки ПДн не будет иных правовых оснований, предусмотренных законодательством Российской Федерации;
6. в случае ликвидации Компании.

3.9.2. Отзыв согласия на обработку персональных данных
Субъект ПДн можно направить Компании на отзыв согласия на обработку ПДн с темой письма «Отзыв согласия на обработку персональных данных» с указанием целей предоставления Компании данных субъекта ПДн и совершаемых Компанией операций для их обработки на адрес электронной почты: info@basic-solutions.ru или на почтовый адрес: 125167, г. Москва, Ленинградский пр-т, д. 37А, корп.4.

3.10. Права субъектов ПДн
Компания обеспечивает защиту прав и свобод в области ПДн. Для обеспечения защиты ПДн Компания:

1. подтверждает обработку ПДн, обрабатывает ПДн и может предоставить возможность ознакомиться с действиями над ПДн в установленные законодательством сроки;
2. сообщает об источнике получения ПДн и составе ПДн субъекта, которое обрабатывается в Компании;
3. сообщает наименование и место нахождения организаций, которые имеют доступ к ПДн субъекта или к организациям, которым могут быть доступны ПДн с согласия субъекта ПДн;
4. сообщает о правовых основаниях, целях, сроках и способах обработки ПДн;
5. сообщает фамилию, имя, отчество и должность сотрудников, которые с согласия субъекта ПДн производят обработку ПДн;
6. вносит изменения в ПДн в случае, если субъект ПДн подтверждает их неполноту, неточность или неактуальность. Изменения вносятся в течении срока, установленного действующим законодательством, с уведомлением субъекта о внесенных изменениях;
7. сообщает о предполагаемой или осуществляемой трансграничной передаче субъекта ПДн;
8. уведомляет о порядке осуществления прав субъекта при обработке Компанией ПДн;
9. исключает из рассылки новостных материалов Компании в случае отказа субъекта ПДн;
10. прекращает обработку ПДн в установленные действующим законодательством строки, если для обработки ПДн не имеется иных правовых оснований, предусмотренных в законодательстве РФ;
11. прекращает обработку ПДн в установленные действующим законодательством строки, если подтверждено, что Компания обрабатывает ПДн неправомерно. Компания уведомляет субъекта ПДн о принятых мерах;
12. уничтожает ПДн, если имеется подтверждение о незаконном получении или не соответствии заявленным целям обработки ПДН, в установленные действующим законодательством строки. Компания уведомляет субъекта ПДн о принятых мерах.
13. отвечает на вопросы, касающиеся ПДн, которые обрабатывает Компания.

4. Описание обязанностей и внесение изменений
Политика вступает в силу с момента ее утверждения. Методическое руководство и контроль соблюдения требований настоящей Политики осуществляет Генеральный директор и руководители подразделений АО «Базовые Решения». Соблюдение данной Политики является ответственностью каждого сотрудника независимо от его должности.
Руководитель отдела качества отвечает за поддержание в актуальном состоянии данной Политики и отвечает за своевременную публикацию документа и соответствие требованиям внедренных в Компании стандартов ISO. Все изменения вносятся в соответствии ПР.01 Структура и управление документацией СМК.