ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях защиты персональных данных физических лиц при их обработке в Обществе с ограниченной ответственностью «Некст Медиа» (далее – «Оператор»), в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» принят настоящий документ:

1. ОСНОВНЫЕ ПОНЯТИЯ:

1.Используемые сокращения:

ИСПДн - Информационная система персональных данных;

ПДн - Персональные данные.

2.Термины и определения:

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта.

Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту ПДн.

Обработка ПДн - любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

Общедоступные ПДн - ПДн, содержащиеся в общедоступных источниках, общеизвестные ПДн и ПДн, доступ к которым не ограничен.

Оператор ПДн (Оператор) – ООО «НМ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

ООО «НМ» как оператор для практического выполнения задач обработки и защиты ПДн назначает лиц, ответственных за организацию обработки ПДн.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому ФЛ (Субъекту ПДн).

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Работник - физическое лицо, вступившее в трудовые отношения с работодателем на основании трудового договора и на иных основаниях, предусмотренных Трудовым кодексом Российской Федерации.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Смешанная обработка ПДн - обработка ПДн, осуществляющаяся с использованием средств автоматизации и без использования таких средств.

Субъект ПДн (Субъект) - ФЛ, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному ФЛ или иностранному ЮЛ.

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Федеральный закон – Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (с изменениями и дополнениями).

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Назначение Политики

2.1.1. Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Некст Медиа» (далее – «Политика») является основополагающим документом, определяющим общие принципы, цели, способы, объем и порядок обработки персональных данных (далее - ПДн) в ООО «НМ» (далее - Оператор), а также меры по обеспечению безопасности при их обработке.

2.1.2. Политика публикуется в свободном доступе на сайте Оператора в информационно-телекоммуникационной сети «Интернет» в целях ознакомления с ней неограниченного круга лиц.

2.1.3. Целью разработки Политики является создание в ООО «НМ» единой системы взглядов и понимания целей, принципов и порядка обработки ПДн.

2.1.4. Политика действует бессрочно после утверждения и до ее замены новой версией.

2.1.5. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится Оператором в одностороннем порядке.

2.1.6. Все изменения (дополнения), вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на веб-сайте Оператора.

2.1.7. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка ПДн, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

2.1.8. Положения Политики распространяются на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Оператора, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки ПДн Оператором, а также в случаях передачи им в установленном порядке ПДн на основании соглашений, договоров, поручений на обработку.

2.2. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА

2.2.1. При обработке ПДн Оператор обязан:

2.2.1.1. Предоставить Субъекту по его просьбе следующую информацию:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- применяемые Оператором способы обработки ПДн;

- наименование и местонахождение Оператора;

- сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления Субъектом прав, предусмотренных Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

2.2.1.2. Разъяснить Субъекту юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом.

2.2.1.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

2.2.1.4. Предоставить Субъекту (если ПДн получены не от Субъекта, до начала обработки таких ПДн) следующую информацию (за исключением случаев, предусмотренных п. 2.2.1.5 Политики):

- наименование и адрес Оператора или его представителя;

- цель обработки ПДн и ее правовое основание;

- предполагаемых пользователей ИСПДн;

- установленные Федеральным законом права Субъекта;

- источник получения ПДн.

2.2.1.5. Оператор освобождается от обязанности предоставить Субъекту сведения, предусмотренные п. 2.2.1.4 Политики, в случаях если:

- Субъект уведомлен об осуществлении обработки его ПДн соответствующим Оператором;

- ПДн получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;

- ПДн сделаны общедоступными Субъектом или получены из общедоступного источника.

2.2.2. Субъект имеет право на:

2.2.2.1. Получение информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые Оператором способы обработки ПДн;

- наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления Субъектом прав, предусмотренных Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

2.2.2.2. Требование от Оператора уточнения его ПДн, их блокирования или уничтожения, а также принятие предусмотренных законом мер по защите своих прав, в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

2.2.2.3. Обжалование действий или бездействий Оператора в уполномоченном органе по защите прав Субъектов или в судебном порядке, если Субъект считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы.

2.2.2.4. Защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет обработку ПДн для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн.

3.2. Оператор обрабатывает ПДн для осуществления своей деятельности в соответствии с уставом, но не ограничиваясь, для достижения следующих целей:

3.2.1. Заключение и исполнение договоров, стороной которых является Субъект.

3.2.2. Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников.

3.2.3. Оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания.

3.2.4. Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки ПДн для достижения цели «заключение и исполнение договоров, стороной которых является Субъект», прописанной в пункте 3.2.1 настоящей Политики являются:

Соглашение-оферта (лицензионное соглашение о предоставлении права простой (неисключительной) лицензии на Программу между Оператором и Субъектом;

- Устав.

4.2. Правовыми основаниями обработки ПДн для достижения цели «заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» являются:

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Устав ООО «НМ»;

- Согласие на обработку ПДн.

4.3. Правовыми основаниями обработки ПДн для достижения цели «оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания» и «рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа» являются:

- Согласие Субъекта ПДн.

5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Для достижения Оператором целей, заявленных в пункте 3.2 настоящей Политики, осуществляется обработка следующих категорий Субъектов:

- работники Оператора;

- бывшие работники Оператора;

- кандидаты на замещение вакантных должностей Оператора;

- родственники работников Оператора;

- клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители;

- представители/работники контрагентов Оператора (юридических лиц).

5.2. Для достижения цели «Заключение и исполнение договоров, стороной которых является Субъект» Оператор осуществляет обработку следующих категорий Субъектов:

- представители/работники контрагентов Оператора (юридических лиц);

- клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.

5.3. Для достижения цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» Оператор осуществляет обработку следующих категорий Субъектов:

- работники Оператора;

- бывшие работники Оператора;

- кандидаты на замещение вакантных должностей;

- родственники работников Оператора.

5.4. Для достижения целей «Оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания» и «Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа» Оператор осуществляет обработку ПДн следующих категорий Субъектов:

- клиенты Оператора (физические лица).

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка ПДн Оператором допускается при наличии согласия Субъекта на обработку его ПДн. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством Российской Федерации. В соответствии с пунктами 2 - 11 части 1 статьи 6 Федерального закона допускается обработка ПДн без согласия Субъекта, в том числе для достижения целей, указанных в п. 3.2.1 и 3.2.4 настоящей Политики.

6.2. Для достижения цели «Заключение и исполнение договоров, стороной которых является Субъект», Оператор осуществляет обработку следующих категорий Субъектов:

6.2.1. представители/работники контрагентов Оператора (юридических лиц);

6.2.2. клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.

В рамках указанных категорий Субъектов осуществляется Смешанная обработка ПДн. Информация передается по внутренней сети Оператора и с использованием сети общего доступа Интернет.

Перечень действий, совершаемых с ПДн, указанных категорий Субъектов:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передача (предоставление, доступ);

- блокирование;

- удаление;

- уничтожение.

6.2.3. В рамках указанной цели передача ПДн третьим лицам не осуществляется.

6.2.4. Обработка ПДн Субъекта осуществляется в связи с заключением договора. ПДн используются Оператором исключительно для исполнения и заключения договоров с Субъектом.

6.2.5. Срок хранения ПДн составляет 10 (десять) лет с момента достижения указанной цели обработки с последующим уничтожением в установленном порядке.

6.3. Для достижения цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» Оператор осуществляет обработку следующих категорий Субъектов:

6.3.1. работники Оператора;

6.3.2. бывшие работники Оператора;

6.3.3. кандидаты на замещение вакантных должностей Оператора;

6.3.4. родственники работников Оператора.

Перечень действий, совершаемых с ПДн, указанных категорий Субъектов:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передача (предоставление, доступ);

- блокирование;

- удаление;

- уничтожение.

6.3.5. В рамках указанной цели осуществляется передача ПДн следующим третьим лицам:

- Федеральная налоговая служба РФ;

- Пенсионный фонд РФ;

- Фонд социального страхования РФ;

- Уполномоченные органы на основаниях, предусмотренных действующим законодательством РФ.

6.3.6. Порядок обращений с ПДн, для достижения указанной цели, определяется:

6.4.7. Порядок и сроки хранения определяются Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации".

Срок хранения ПДн достигает 50 (пятидесяти) лет.

6.4. Для достижения цели "Оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания" Оператор осуществляет обработку ПДн следующих категорий Субъектов:

6.4.1. представители/работники контрагентов Оператора (юридических лиц);

6.4.2. клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.

В рамках указанных категорий Субъектов осуществляется Смешанная обработка ПДн. Информация передается по внутренней сети и с использованием сети общего доступа Интернет.

Перечень действий, совершаемых с ПДн, указанных категорий Субъектов:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- блокирование;

- удаление.

6.4.3. В рамках указанной цели передача ПДн третьим лицам не осуществляется.

6.5. Материалы видеосъемки, осуществляемой на территории Оператора, не используются Оператором для установления личностей Субъектов.

6.6. Оператор не осуществляет обработку ПДн, относящихся к специальным категориям и касающихся расовой и национальной принадлежностей, политических взглядов, религиозных или философских убеждений, интимной жизни Субъекта, членства Субъекта в общественных объединениях, за исключением случаев, прямо предусмотренных законодательством РФ.

6.7. Оператор осуществляет обработку ПДн, касающихся состояния здоровья, в случае получения согласия от Субъекта на обработку указанных данных или в иных случаях, прямо предусмотренных действующим законодательством РФ.

6.8. Оператор не осуществляет трансграничную передачу ПДн Субъектов.

6.9. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен действующим законодательством РФ, договором, стороной которого или выгодоприобретателем по которому является Субъект.

6.10. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

6.10.1. назначение работника, ответственного за организацию обработки ПДн;

6.10.2. проверка наличия в договорах с контрагентами и включение при необходимости в договоры пунктов об обеспечении безопасности ПДн;

6.10.3. издание локальных актов по вопросам обработки ПДн, ознакомление с ними работников, ознакомление работников с настоящей Политикой и требованиями законодательства РФ по обработке и обеспечению безопасности ПДн, обучение пользователей ИСПДн;

6.10.4. обеспечение физической безопасности помещений и средств обработки ПДн, пропускной режим, охрана, видеонаблюдение;

6.10.5. ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;

6.10.6. определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;

6.10.7. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

6.10.8. учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение;

6.10.9. резервное копирование информации для возможности восстановления;

6.10.10. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

6.11. Оператор прекращает обработку ПДн при достижении целей обработки ПДн, истечении срока действия согласия или отзыва согласия Субъекта на обработку его ПДн, а также выявлении неправомерной обработки ПДн.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор осуществляет актуализацию и исправление ПДн при подтверждении факта неточности ПДн либо при направлении Субъектом или его законным представителем запроса на уточнение/актуализацию ПДн.

Субъект или его законный представитель направляют запросы на уточнение/актуализацию ПДн.

7.2. Уничтожение ПДн.

Оператор уничтожает обрабатываемые ПДн при наступлении следующих условий и в следующие сроки:

- достижение указанных в пункте 3.2 целей обработки ПДн или максимальных сроков хранения - в течение 30 (тридцати) дней;

- утрата необходимости в достижении целей обработки ПДн - в течение 30 (тридцати) дней;

- предоставление Субъектом или его законным представителем подтверждения того, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 (семи) дней;

- невозможность обеспечения правомерности обработки ПДн - в течение 10 (десяти) дней;

- отзыв Субъектом согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн - в течение 30 (тридцати) дней;

- отзыв Субъектом согласия на использование ПДн для контактов с потенциальными потребителями при продвижении товаров и услуг - в течение 2 (двух) дней;

- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;

- ликвидация (реорганизация) Оператора.

8. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Прием и регистрация запросов Субъектов.

Субъект может направить запрос как в письменной, так и в электронной форме.

К письменным запросам Субъектов относятся любые письменные обращения Субъектов, направленные в адрес Оператора, в том числе обращения, отправленные через отделения почтовой связи.

К электронным запросам Субъектов относятся обращения, направленные по электронной почте.

Оператором не обрабатываются запросы, связанные с передачей или разглашением ПДн, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность Субъекта.

Первичный учет поступивших запросов от Субъектов осуществляется в соответствии с правилами внутреннего документооборота Оператора.

8.2. Порядок рассмотрения запросов и обращений от Субъектов.

Письменный ответ Субъекту (или его законному представителю) направляется Оператором вне зависимости от формы запроса Субъекта (письменный или электронный) и результатов рассмотрения запроса или обращения. Подготовка ответов Субъекту (или его законному представителю) осуществляется работником Оператора, назначенным ответственным за организацию обработки ПДн.

Запросы и обращения Субъектов (или их законных представителей) проверяются на наличие:

- фамилии, имени и отчества заявителя;

- фамилии, имени и отчества Субъекта;

- номера основного документа, удостоверяющего личность Субъекта или его законного представителя, сведений о дате выдачи указанного документа и выдавшем органе;

- собственноручной подписи Субъекта (или его законного представителя) - для письменных запросов и обращений.

В случае необходимости работник Оператора, назначенный ответственным за организацию обработки ПДн, запрашивает дополнительную информацию у Субъекта (или его законного представителя).

Срок предоставления ответа Субъекту (или его законному представителю) не превышает 30 (тридцати) рабочих дней с момента получения обращения.

В сведениях, предоставляемых Субъекту (или его законному представителю) в доступной форме, не содержатся ПДн, относящиеся к другим Субъектам.