ПОЛИТИКА ГРУППЫ КОМПАНИЙ «ЭЙТИЭЙЧ» (ООО «БИ ТИ АЙ РАША» и ООО «АЛЬВИСТ») В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ |
Группа компаний «ЭйТиЭйч» (ООО «БИ ТИ АЙ Раша» и ООО «АЛЬВИСТ»), далее – ГК, в рамках выполнения своей основной деятельности осуществляют обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, пользователей услуг ГК, представителей контрагентов и других субъектов персональных данных, и в соответствии с действующим законодательством РФ является оператором персональных данных с соответствующими правами и обязанностями. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства ГК считает важнейшими задачами: обеспечение легитимности обработки персональных данных в бизнес-процессах ГК и обеспечение надлежащего уровня безопасности обрабатываемых в ГК персональных данных. |
При организации и осуществлении обработки персональных данных ГК руководствуются требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (далее – законодательство РФ по вопросам обработки персональных данных). |
Обработка персональных данных в ГК осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в ГК персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается. |
При обработке персональных данных в ГК обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. ГК принимают необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных. |
Хранение персональных данных в ГК осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. |
Цели обработки персональных данных, состав и содержание персональных данных, а также категории субъектов персональных данных, чьи данные обрабатываются в ГК, соответствуют деятельности ГК и законодательству РФ. При этом в ГК не обрабатываются специальные категории персональных данных и биометрические персональные данные. |
ГК в ходе своей деятельности могут предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке. |
ГК не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия. ГК в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются наивысшим приоритетом для ГК, решение которых реализуется в соответствии с законодательством РФ по вопросам обработки персональных данных. |
Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных, а также иных предусмотренных законодательством случаях. |
С целью обеспечения безопасности персональных данных при их обработке ГК принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
Группа компаний добивается того, чтобы все, реализуемые ГК мероприятия по организационной и технической защите персональных данных, осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных. |
В целях обеспечения адекватной защиты персональных данных ГК проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных. |
В соответствии с выявленными актуальными угрозами ГК применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных. |
Руководство ГК осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности ГК. |
Каждый новый работник ГК, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами ГК по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
Последнее обновление – 27 января 2025 г. |
POLICY OF "ATH" GROUP OF COMPANIES (“BTI RUSSIA” LLC AND “ALVIST” LLC) CONCERNING THE PROCESSING OF THE PERSONAL DATA |
"ATH" group of companies (“BTI Russia” LLC and “Alvist” LLC), hereinafter referred to as "GC", within execution of its main activity performs processing of the personal data of various categories of the personal data subjects: workers, applicants, GC’s services users, representatives of contract partners and other subjects of personal data, and in compliance with the legislation of the Russian Federation in force is the personal data operator with the corresponding rights and obligations.
In order to support good will and ensure the execution of norms of the legislation the GC consider the following tasks the most important: providing validity of the personal data processing in business-processes of the GC and providing the corresponding degree of the security of personal data, processed in the GC. |
While organizing and performing personal data processing, the GC follow the requirements of the Federal Law No. 152-FZ "On personal data" dd. 27.07.2006 and regulatory legal acts, adopted in compliance with it (hereinafter referred to "the legislation of the Russian Federation on the issues of personal data processing). |
Personal data processing in the GC is done on the legal and just basis and is limited to the achievement of specific, previously established and legal goals. Only the personal data, complying with the goal of their processing, are subject to processing. Content and volume of the personal data, processed in the GC, complies with the announced goals of processing, the redundancy of the processed data is not allowed. |
The accuracy of the personal data, their sufficiency and in necessary cases their actuality in relation to the goals of the personal data processing are ensured during the personal data processing in the GC. The GC take the necessary measures (ensures their acceptance) on deleting or specification of incomplete or inaccurate personal data. |
The storage of the personal data in the GC is done in the form, which allows determination of the personal data subject, for not longer, than this is required by the goals of personal data processing, if the personal data storage period is not established by the federal law, contract, to which the personal data subject is a party, a beneficiary or a warrantor. The processed personal data are subject to deletion or depersonalization upon achievement of the processing goals or in case the need to reach these goals is lost, unless otherwise envisaged by the federal law. |
The goals of the personal data processing, composition and content of the personal data, as well as categories of the personal data subjects, whose data is processed in the GC, comply with the activity of the GC and legislation of the Russian Federation. This being said, the GC does not process special categories of the personal data and biometric personal data. |
Within its activity the GC can provide and (or) commission the personal data processing to the third party upon the consent of the personal data subject, unless otherwise envisaged by the federal law. With being said the binding condition of providing and (or) commissioning of the personal data processing to the third party is the obligation of the parties on observance of confidentiality and personal data safety provision during their processing. |
The GC do not locates the personal data of the personal data subject in public sources without their previous consent. While performing its activity, the GC can perform transborder transfer of the personal data to the territory of foreign states to the public authorities of the foreign state, natural and legal entities. In this case, the issues of providing the relevant protection of the rights of personal data subjects and their personal data safety provision during transborder transfer are of the highest priority for the GC, the solution of which is implemented in compliance with the legislation of the Russian Federation on the issues of the personal data processing. |
The transborder transfer of the personal data to the territory of the foreign states, which do not ensure the relevant protection of the rights of the personal data subjects, is done only in cases of written consent from the personal data subject for the transborder transfer of their personal data; performance of the contract, to which the personal data subject is a party, as well as other cases, envisaged by the legislation. |
In order to ensure the personal data security during the processing, the GC takes necessary and sufficiently legal organizational and technical measures to protect the personal data from unauthorized or accidental access to them, their destruction, modification, blocking, copying, delivering, distribution of the personal data, as well as other illegal actions in relation to the personal data. |
The GC strives, that all the measures on organizational and technical protection of the personal data, taken by the GC, were performed on the legal basis, including the compliance with the requirements of the legislation of the Russian Federation on the issues of the personal data processing. |
In order to ensure the relevant protection of the personal data, the GC performs the evaluation of harm, which can be caused to the personal data subjects in case of violation of their personal data security, as well as determines the actual threats to the personal data security during their processing in the information systems of personal data. |
Based on the identified actual threats, the GC takes necessary and sufficiently legal, organizational and technical measures to ensure the personal data security, which include the use of the information protection means, which have passed the established evaluation procedure, identification of unauthorized access to the personal data and taking measures, recovery of the personal data, restriction of the access to the personal data, registration and record of the actions with the personal data, as well as control and assessment of the efficient of the taken measures on provision of the personal data security. |
The management of the GC realizes the importance and necessity of ensuring the personal data security and encourages continuous enhancement of the personal data protection system, processed within the performance of the main activity of the GC. |
Each new employee of the Companies, who directly processes the personal data, shall become familiar with the requirements of the legislation of the Russian Federation on the personal data processing and security provision, with this Policy and other local acts of the GC on the issues of the personal data processing and security provision, and undertake to comply with them.
Last review – 27 January 2025 |