Terms of Usage

Personal Data Processing Policy

1 INTRODUCTION

1.1. This document defines the policy of OilTec (hereinafter referred to as the Company) regarding the processing of personal data.

1.2. This Policy has been developed in accordance with the current legislation of the Russian Federation on personal data.

1.3. This Policy applies to all processes related to the collection, recording, systematization, accumulation, storage, clarification, extraction, use, transfer (distribution, provision, access), depersonalization, blocking, deletion, destruction of personal data performed using automation tools and without the use of such tools.

2 PRINCIPLES OF PERSONAL DATA PROCESSING

Personal data is processed on the basis of the following principles:

1) The processing of personal data is carried out on a legal and fair basis;

2) The processing of personal data is limited to the achievement of specific, pre-defined and legitimate purposes. Processing of personal data that is incompatible with the purposes of personal data collection is not allowed;

3) It is not allowed to combine databases containing personal data, the processing of which is carried out for purposes that are incompatible with each other;

4) Only those personal data that meet the purposes of their processing are subject to processing;

5) The content and scope of the personal data processed correspond to the stated purposes of processing. The personal data processed is not redundant in relation to the stated purposes of processing;

6) When processing personal data, the accuracy of personal data, their sufficiency, and, if necessary, their relevance in relation to the stated purposes of their processing is ensured;

7) Storage of personal data is carried out in a form that allows determining the subject of personal data for no longer than the purposes of processing personal data require, unless the period of storage of personal data is established by a federal law, an agreement to which the subject of personal data is a party, beneficiary or guarantor. The processed personal data is subject to destruction or depersonalization upon achievement of the processing goals or in case of loss of the need to achieve these goals, unless otherwise provided by federal law.

3 TERMS OF PERSONAL DATA PROCESSING

3.1 The processing of personal data is carried out in compliance with the principles and rules established by the Federal Law "On Personal Data". Processing of personal data is allowed in the following cases:

1) The processing of personal data is carried out with the consent of the personal data subject to the processing of his / her personal data;

2) The processing of personal data is necessary for achieving the goals stipulated by an international treaty of the Russian Federation or a law, for performing and fulfilling the functions, powers and duties assigned to the operator by the legislation of the Russian Federation;

3) Processing of personal data is necessary for the administration of justice, execution of a judicial act, or an act of another body or official subject to execution in accordance with the legislation of the Russian Federation on enforcement proceedings;

4) the processing of personal data is necessary for the performance of a contract to which the personal data subject is a party or a beneficiary or guarantor, as well as for the conclusion of a contract on the initiative of the personal data subject or a contract under which the personal data subject will be a beneficiary or guarantor;

5) processing of personal data is necessary to protect the life, health or other vital interests of the personal data subject, if obtaining the consent of the personal data subject is impossible;

6) processing of personal data is necessary to exercise the rights and legitimate interests of the operator or third parties, or to achieve socially significant goals, provided that the rights and freedoms of the personal data subject are not violated;

7) the processing of personal data is carried out for statistical or other research purposes, subject to mandatory depersonalization of personal data. The exception is the processing of personal data for the purpose of promoting goods, works, and services on the market by making direct contacts with potential consumers through communication tools, as well as for the purpose of political campaigning;

8) processing of personal data is carried out, access to which is granted to an unlimited number of persons by the subject of personal data, or at his request (hereinafter-personal data made publicly available by the subject of personal data);

9) processing of personal data subject to publication or mandatory disclosure in accordance with federal law is carried out.

3.2. The Company may include personal data of subjects in publicly available sources of personal data, and the Company takes the written consent of the subject to process his / her personal data.

3.3. The Company may process special categories of personal data related to race, nationality, or health status, and the Company undertakes to take the written consent of the subject to process his / her personal data

3.4. Biometric personal data (information that characterizes the physiological and biological characteristics of a person, on the basis of which it is possible to establish his identity and which is used by the operator to establish the identity of the subject of personal data) is not processed in the Company.

3.5. The Company carries out cross-border transfer of personal data only to the territory of foreign countries that ensure adequate protection of the rights of personal data subjects.

3.6. Decisions based solely on automated processing of personal data that give rise to legal consequences in relation to the subject of personal data or otherwise affect his rights and legitimate interests are not made.

3.7. The terms of the Company's operating license do not prohibit the transfer of personal data to third parties without the written consent of the personal data subject.

3.8. If there is no need for the subject's written consent to the processing of his / her personal data, the subject's consent may be given by the personal data subject or his / her representative in any form that makes it possible to obtain the fact of its receipt.

3.9. The Company has the right to entrust the processing of personal data to another person with the consent of the personal data subject, unless otherwise provided by federal law, on the basis of a contract concluded with this person (hereinafter referred to as the operator's order). At the same time, the Company obliges the person who processes personal data on behalf of the Company to comply with the principles and rules for processing personal data provided for by this Federal Law.

3.10. If the Company entrusts the processing of personal data to another person, the Company is responsible to the personal data subject for the actions of this person. The person who processes personal data on behalf of the Company is responsible to the Company.

3.11. The Company undertakes and obliges other persons who have obtained access to personal data not to disclose or distribute personal data to third parties without the consent of the personal data subject, unless otherwise provided by federal law.

4 COMPANY RESPONSIBILITIES

In accordance with the requirements of Federal Law No. 152-FZ "On Personal Data", the Company must:

  • Provide the personal data subject, upon request, with information related to the processing of their personal data, or legally refuse to do so.
  • At the request of the personal data subject, clarify the processed personal data, block or delete it if the personal data is incomplete, outdated, inaccurate, illegally obtained or not necessary for the stated purpose of processing.
  • Keep a Log of requests from personal data subjects, which should record requests from personal data subjects to receive personal data, as well as the facts of providing personal data on these requests.
  • Notify the personal data subject about the processing of personal data if the personal data was not received from the personal data subject.

Exceptions include the following cases:

  1. The personal data subject is notified about the processing of his / her personal data by the relevant operator;
  2. Personal data is obtained by the Company on the basis of a federal law or in connection with the performance of a contract to which the personal data subject is a party or beneficiary or guarantor;
  3. Personal data is made publicly available by the personal data subject or obtained from a publicly accessible source;
  4. The Company processes personal data for statistical or other research purposes, for the professional activity of a journalist, or for scientific, literary or other creative activities, provided that the rights and legitimate interests of the personal data subject are not violated;
  5. Providing the personal data subject with the information contained in the Personal Data Processing Notification violates the rights and legitimate interests of third parties.
  • If the purpose of processing personal data is achieved, immediately stop processing personal data and destroy the relevant personal data within a period not exceeding thirty days from the date of achieving the purpose of processing personal data, unless otherwise provided by a contract to which the personal data subject is a party, beneficiary or guarantor, or another agreement between the Company and the personal data subject or if the Company does not have the right to process personal data without the consent of the personal data subject on the grounds of:, provided for in Federal Law No. 152-FZ "On Personal Data" or other federal laws.
  • If the personal data subject withdraws consent to the processing of their personal data, stop processing personal data and destroy personal data within a period not exceeding thirty days from the date of receipt of the said withdrawal, unless otherwise provided by the agreement between the Company and the personal data subject. The Company is obliged to notify the personal data subject about the destruction of personal data.
  • If the subject receives a request to stop processing personal data in order to promote goods, works, or services on the market, immediately stop processing personal data.

5 MEASURES TO ENSURE THE SECURITY OF PERSONAL DATA DURING THEIR PROCESSING

5.1. When processing personal data, the Company takes the necessary legal, organizational and technical measures to protect personal data from unauthorized or accidental access to it, destruction, modification, blocking, copying, provision, dissemination of personal data, as well as from other illegal actions in relation to personal data.

5.2. Ensuring the security of personal data is achieved, in particular:

  • identification of threats to the security of personal data when processing them in personal data information systems;
  • application of organizational and technical measures to ensure the security of personal data when processing them in personal data information systems necessary to meet the requirements for personal data protection, the implementation of which ensures the levels of personal data security established by the Government of the Russian Federation;
  • application of information security tools that have passed the compliance assessment procedure in accordance with the established procedure;
  • assessment of the effectiveness of measures taken to ensure the security of personal data prior to the commissioning of the personal data information system;
  • taking into account machine-generated personal data carriers;
  • detection of unauthorized access to personal data and taking measures;
  • recovery of personal data modified or destroyed as a result of unauthorized access to them;
  • establishing rules for access to personal data processed in the personal data information system, as well as ensuring registration and accounting of all actions performed with personal data in the personal data information system;
  • control over the measures taken to ensure the security of personal data and the level of security of personal data information systems.

 

 

Политика в отношении обработки персональных данных

1 ВВЕДЕНИЕ

1.1. Настоящий документ определяет политику компании "OilTec" (далее – Компания) в отношении обработки персональных данных.

1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных.

1.3. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется на основе следующих принципов:

1) Обработка персональных данных осуществляется на законной и справедливой основе;

2) Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;

4) Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

5) Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

6) При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

7) Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка персональных данных допускается в следующих случаях:

1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

8) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

9) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.2. Компания может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Компания берет письменное согласие субъекта на обработку его персональных данных.

3.3. Компания может осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, состояния здоровья, при этом Компания обязуется брать письменное согласие субъекта на обработку его персональных данных

3.4. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) в Компании не обрабатываются.

3.5. Компания осуществляет трансграничную передачу персональных данных только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

3.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.7. В условиях лицензии на осуществление деятельности Компании отсутствует запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

3.8. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.

3.9. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания в договоре обязует лицо, осуществляющее обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

3.10. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

3.11. Компания обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4 ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:

  • Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.
  • По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
  • Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных.

Исключение составляют следующие случаи:

  1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
  2. Персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  4. Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  5. Предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.
  • В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами.
  • В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных. Об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных.
  • В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

5 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.