ПОЛИТИКА ООО «АСТРУМ» В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Назад1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) является основой для организации работы по обработке и обеспечению безопасности персональных данных в ООО «АСТРУМ» (далее – Компания). Положения настоящей Политики распространяются на всех работников Компании, имеющих доступ к персональным данным.
1.2. Настоящая Политика является общедоступной и подлежит размещению на сайте Компании. Компания оставляет за собой право в любое время обновлять и изменять Политику.
1.3. Обработка персональных данных в Компании осуществляется в соответствии с требованиями действующего законодательства и следующими основными принципами:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
- легитимности организационных и технических мер по обеспечению безопасности персональных данных;
- непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
- стремления к постоянному совершенствованию системы защиты персональных данных.
1.4. С целью поддержания деловой репутации Компания считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
1.5. Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
1.6 Компания обеспечивает принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Субъект персональных данных – определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные.
2.4. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.5. Конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:
3.1.1. Осуществление трудовых отношений с работниками в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами и обеспечение работников комфортными условиями труда;
3.1.2 Исполнение обязательств, предусмотренных действующим законодательством РФ, включая подзаконные акты;
3.1.3. Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства;
3.1.4. Информационное обеспечение лиц, использующих внутренние информационные сервисы Компании;
3.1.5. Оформление гостевых пропусков для однократного прохода на территорию оператора;
3.1.6 Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ;
3.1.7 Продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
3.1.8 Предоставление информации о лице на Интернет-ресурсах Компании.
3.2. Для каждой цели обработки персональных данных в Компании определены перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных в документе «Перечень персональных данных, обрабатываемых в ООО «АСТРУМ».
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания осуществляет обработку персональных данных на следующих правовых основаниях:
- Устав ООО «АСТРУМ»;
- Трудовое законодательство, включая Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ, Закон РФ от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации";
- Гражданский кодекс РФ от 30.11.1994 г. № 51-ФЗ (часть первая), от 26.01.1996 г. №14-ФЗ (часть вторая), от 26.11.2001 г. № 146-ФЗ (часть третья), от 18.12.2006 г. № 230-ФЗ (часть четвертая);
- Налоговый кодекс РФ от 31.07.1998 г. № 146-ФЗ (часть первая), от 05.08.2000 г. №117-ФЗ (часть вторая);
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 26.07.2006 N 135-ФЗ "О защите конкуренции";
- Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании»;
- Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
- Постановление Государственного комитета РФ по статистике от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- Постановления уполномоченных органов;
- Договор с контрагентом;
- Пользовательское (лицензионное) соглашение интернет-сервиса/игры;
- Правила мероприятий (конкурсов) (соглашение);
- Согласие на обработку персональных данных;
- Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- Локальные акты, принятые Компанией в соответствии с законодательством о персональных данных, включая настоящую Политику и действующую редакцию Положения об обработке персональных данных в ООО «АСТРУМ».
4.2. Для каждого из Интернет-сервисов Компании предусмотрена соответствующая политика конфиденциальности, не противоречащая настоящей Политике.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В Компании осуществляется или допускается обработка персональных данных следующих категорий субъектов персональных данных:
- работники Компании;
- родственники работников Компании;
- бывшие работники Компании;
- работники российских юридических лиц, в которых АО «МУЛЬТИПЛИКАТОР ГРУПП» прямо или косвенно, в том числе путем участия в их уставных капиталах, имеет статус основного общества;
- физические лица, аффилированные с Компанией;
- исполнители по договорам с физическими лицами;
- пользователи интернет-сервисов Компании (в т.ч. бывшие);
- соискатели;
- гости Компании по деловым поездкам;
- участники проводимых Компанией мероприятий (конкурсов);
- представители лиц, имеющих договорные отношения с Компанией;
- пользователи внутренних информационных сервисов Компании;
- посетители Компании;
- субъекты персональных данных, которые направляют заявления, претензии и иные обращения в адрес Компании;
- представители субъектов персональных данных, направляющих заявления, претензии и иные обращения в адрес Компании от имени субъектов персональных данных;
- потенциальные потребители товаров, работ, услуг;
- аналитики, отслеживающие деятельность Компании.
5.4. Обработка Компанией специальных категорий персональных данных допускается только в случаях, предусмотренных федеральным законодательством РФ.
5.5. Обработка Компанией биометрических персональных данных не осуществляется, если иное явным образом не указано в политике конфиденциальности Интернет-сервисов Компании или в отдельном локальном нормативном акте.
6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных вправе:
6.1.1. получать информацию, касающуюся своих персональных данных и ее обработки, в порядке и в объеме, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.1.2. назначать представителей;
6.1.3. требовать от Компании уточнения персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.4. принимать предусмотренные законодательством РФ меры по защите своих прав;
6.1.5. отзывать согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой;
6.1.6. прекращать обработку персональных данных в порядке, предусмотренном настоящей Политикой.
6.2. Субъекты персональных данных обязаны осуществлять свои права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе с частью 3 статьи 14, устанавливающей требования к содержанию запросов от субъектов, а также с иными нормативными правовыми актами.
7. ОСНОВНЫЕ ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Компания осуществляет обработку персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных только при наличии оснований и в течение сроков, предусмотренных действующим законодательством.
7.2. Обработка персональных данных Компанией осуществляется как с использованием, так и без использования средств автоматизации (в т.ч. смешанная обработка).
7.3. При обработке персональных данных Компания соблюдает права субъектов персональных данных и выполняет обязанности оператора, предусмотренные законодательством РФ о персональных данных.
7.4. Обработка Компанией персональных данных может осуществляться по поручению третьих лиц. В таких случаях Компания не является оператором и не обязана получать согласия на обработку персональных данных у субъектов персональных данных.
7.5. Компания, осуществляя обработку персональных данных субъекта персональных данных, вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора.
7.6. При сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
7.7. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
7.8. Компания в ходе своей деятельности может осуществлять передачу персональных данных третьим лицам, в случаях, предусмотренных законодательством РФ или с согласия субъекта персональных данных.
7.9. Компания в ходе своей деятельности может осуществлять трансграничную передачу персональных данных с соблюдением условий, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Компанией.
8.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, прекращения обработки персональных данных по обращению субъекта персональных данных, Компания прекращает обработку персональных данных способом, предусмотренным ч. 7 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.3. Компания вправе продолжить обработку персональных данных в случае достижения цели обработки, при наличии иных законных оснований. Компания также вправе продолжить обработку персональных данных после отзыва согласия субъекта на обработку персональных данных, прекращения обработки персональных данных по обращению субъекта персональных данных, при наличии оснований, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.4. В случае выявления неправомерной обработки персональных данных они подлежат уничтожению Компанией в порядке, предусмотренном законодательством РФ о персональных данных.
8.5. Компания осуществляет реагирование на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов в соответствии с действующим законодательством РФ.
8.6. Запросы/обращения указанных субъектов по поводу неточности персональных данных, неправомерности их обработки, доступа субъекта персональных данных к своим персональным данным направляются по адресу места нахождения Компании в письменной форме или в ином порядке, предусмотренном действующим законодательством РФ. Отзыв согласия на обработку персональных данных, обращение субъекта персональных данных с требованием о прекращении обработки персональных данных направляются субъектом персональных данных в письменной форме по адресу места нахождения Компании.
8.7. Компания вправе ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных федеральными законами РФ, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.
8.8. При направлении запроса/обращения в Компанию с целью реализации прав субъекта персональных данных необходимо указывать:
- фамилию, имя, отчество субъекта персональных данных или его представителя;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название и дата проведения конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
- подпись субъекта персональных данных (или его представителя).
8.9. При направлении отзыва согласия на обработку Персональных данных, обращения с требованием о прекращении обработки персональных данных в Компанию с целью реализации прав субъекта персональных данных необходимо указывать, в том числе:
- фамилию, имя, отчество субъекта персональных данных или его представителя, адрес субъекта персональных данных;
- сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название и дата проведения конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
- подпись субъекта персональных данных (или его представителя).
8.10. Для каждого из типов запросов или обращений Компанией разработаны примеры форм, которые приведены в приложении к действующему в Компании документу «Регламент взаимодействия с субъектами персональных данных». Субъект персональных данных имеет право отказаться от использования примера формы и предоставить запрос или обращение в другой форме с соблюдением требований Федерального закона №152-ФЗ.
9. ВЫПОЛНЯЕМЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования применимых нормативных документов в области обработки и обеспечения безопасности персональных данных, включая:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
9.2. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
9.3. В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
9.4. Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
Редакция от 28.12.2023