Политика ООО «Топвизор» в отношении обработки персональных данных


1. Общие положения

1.1. Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями российского и международного законодательства в области обработки персональных данных и направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО «Топвизор».

1.2. В настоящем документе и отношениях, связанных с обработкой персональных данных, применяются следующие термины и их определения:

«Персональные данные» - любая информация, относящаяся к определенному или определяемому физическому лицу («субъекту персональных данных»), при этом определяемое лицо - это физическое лицо, которое может быть идентифицировано прямо или косвенно посредством таких идентификаторов как имя, идентификационный номер (в том числе налогоплательщика, страхового номера лицевого счета и т.д.), адрес, идентификаторы в сети Интернет (IP-адреса, идентификаторы типа куки-файлы или иные идентификаторы). При этом к персональным данным не относятся данные умерших лиц и анонимные данные - информация, которая не относится к определенному или определяемому физическому лицу, или в отношении персональных данных, предоставленных анонимно таким образом, что субъект данных не идентифицируется без получения дополнительных данных.

«Оператор персональных данных» - ООО «Топвизор», осуществляющее свою деятельность по адресу — Российская Федерация, г. Санкт-Петербург, ул. Егорова, дом 23А, офис 118.

«Обработка персональных данных» - любая операция или совокупность операций, осуществляемых с персональными данными, с применением автоматизированных средств или без таковых, в том числе сбор, запись, систематизацию (организация, структурирование), накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

«Обрабатывающее данные лицо» - это физическое или юридическое лицо, которое обрабатывает персональные данные от имени и по распоряжению оператора.

«Согласие субъекта персональных данных» - свободно данное, конкретное, содержательное и определенное указание, которым субъект персональных данных оповещает о своем согласии на обработку относящихся к нему персональных данных.

«Несанкционированный доступ к персональным данным» - нарушение безопасности, ведущее к случайной или незаконной потере, утрате, изменению, незаконному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным («утечка персональных данных»).

В случаях, если настоящей политикой не установлено определение того или иного термина, то его толкование производится в соответствии с действующими законодательством РФ и нормами международного права.

1.3. Политика является общедоступным документом и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых оператором персональных данных, функции оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых оператором в целях обеспечения безопасности персональных данных при их обработке.

1.4. При обработке персональных данных оператор руководствуется действующим законодательством РФ и международными нормами права в отношении обработки персональных данных, трудовым, налоговым законодательством РФ, иными нормативными правовыми актами РФ.

2. Принципы обработки персональных данных

2.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц, совершает все необходимые действия, направленные на защиту персональных данных, в с соответствии со следующими принципами:

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ;

- прозрачность в отношении функций и обработки персональных данных, позволяющая субъекту данных контролировать процесс обработки данных, а оператору - создать и улучшить средства защиты, гарантирующие безопасность персональных данных (целостность и конфиденциальность).

3. Перечень обрабатываемых оператором персональных данных субъектов, цели их обработки

3.1. Оператор осуществляет обработку персональных данных физических лиц: собственных работников; третьих лиц, состоящих в гражданско-правовых правоотношениях с оператором и контрагентами оператора; других субъектов персональных данных для обеспечения реализации целей обработки, указанных в настоящем разделе, например, направляющих обращения ООО «Топвизор».

3.1.1. Оператор обрабатывает следующие персональные данные собственных сотрудников: фамилия, имя, отчество (в т.ч. прежние), дата и место рождения, пол, возраст, гражданство, паспортные данные, данные иных документов, удостоверяющих личность (загранпаспорта), адрес места жительства (адрес регистрации и фактический), дата регистрации по месту жительства или месту пребывания, номера контактных телефонов, личной электронной почты, иных персональных средств связи, сведения об образовании, квалификации, сведения о трудовой деятельности, о доходах, в том числе, заработной плате (номера банковских счетов для расчетов, иные реквизиты), о должности, сведения о номере и серии страхового свидетельства государственного пенсионного страхования, сведения об идентификационном номере налогоплательщика и иные сведения (персональные данные) необходимые для достижения целей, определенных настоящей политикой и согласием работника на обработку его персональных данных.

3.1.2. Оператор обрабатывает следующие персональные данные третьих лиц: фамилия, имя, отчество (в т.ч. прежние), дата и место рождения, пол, возраст, гражданство, паспортные данные, адрес места жительства (адрес регистрации и фактический), дата регистрации по месту жительства или месту пребывания, номера контактных телефонов, личной электронной почты, иных персональных средств связи, платежные реквизиты, сведения о номере и серии страхового свидетельства государственного пенсионного страхования, идентификаторы в сети Интернет (IP-адреса, идентификаторы типа куки-файлы или иные идентификаторы, позволяющие определить субъекта персональных данных и не относящиеся к анонимным данным) и иные сведения (персональные данные) необходимые для достижения целей, определенных настоящей политикой и получаемым согласием третьего лица.

Настоящая политика распространяет свое действие на обработку данных, полученных в сети Интернет, только в том случае, если они относятся к персональным данным, позволяющим идентифицировать субъект персональных данных.

3.2. Обработка специальных категорий персональных данных работников и третьих лиц, а именно: биометрических данных, данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, оператором не осуществляется.

3.3. Оператор обрабатывает персональные данные работников и третьих лиц в соответствии с целями, установленными настоящей политикой и определяемыми в согласии, полученном от субъекта персональных данных.

3.3.1. Персональные данные работников оператора обрабатываются с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также с целью:

- ведения кадрового, налогового и бухгалтерского учета;

- осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

- регулирования трудовых отношений с работниками ООО «Топвизор» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, предоставлления льгот и компенсаций, предусмотренных законодательством РФ);

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

- осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных Уставом;

- в иных законных целях.

3.3.2. Оператор обрабатывает персональные данные третьих лиц в целях:

- заключения и выполнения обязательств по гражданско-правовым договорам, в том числе в сети Интернет при осуществлении функций администрации сайта оператора;

- осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

- осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных уставом, в том числе информирования о новостях, новых услугах, специальных акциях и предложениях оператора на основании согласия субъекта данных;

- в иных законных целях.

4. Порядок обработки персональных данных

4.1. Оператор получает персональные данные непосредственно у субъекта персональных данных и обрабатывает их с его согласия автоматизированным (с использованием средств вычислительной техники) и/или неавтоматизированным способами (без использования таких средств).

Если данные субъекта персональных данных возможно получить только у третьей стороны, оператор заранее уведомляет об этом субъекта персональных данных и получает его письменное согласие. Оператор сообщает субъекту персональных данных о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа дать письменное согласие на их получение.

4.2. Действия по обработке персональных данных включают сбор, запись, систематизацию (организация, структурирование), накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) третьим лицам, обезличивание, блокирование, удаление и уничтожение.

4.3. Базы данных информации, содержащей персональные данные субъектов, находятся на территории РФ. Оператор разрешает доступ к персональным данным субъектов персональных данных только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций.

Оператор предупреждает лиц, обрабатывающих персональные данные, что эти данные могут быть использованы только в целях, для которых они сообщены, требует от этих лиц подтверждения, что это правило соблюдено.

4.4. Оператор обрабатывает персональные данные субъектов персональных данных в течение срока действия трудового договора или заключенного гражданско-правового договора. Оператор может обрабатывать персональные данные субъектов и после окончания сроков действия заключенных с ними договоров в течение срока, установленного налоговым законодательством, иными нормативными правовыми актами, согласием субъекта персональных данных.

4.5. В установленных законом и согласием субъекта персональных данных случаях оператор передает или поручает обработку таких данных третьим лицам, в частности: государственным и правоохранительным органам (ПФР, ФНС, ФСС и др.), банкам, страховым компаниям, организациям, осуществляющим пассажирские перевозки, гостиницам (например, для организации командировок), иным организациям, в том числе партнерам оператора, и лицам в целях выполнения обязанностей оператора в рамках заключенных договоров, а также в иных законных целях.

5. Меры, принимаемые оператором, для защиты персональных данных

5.1. Оператор при обработке персональных данных за свой счет принимает все необходимые и достаточные меры для обеспечения выполнения обязанностей оператора, предусмотренных законодательством РФ в области защиты персональных данных, включая:

- принятие правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- назначение лица, ответственного за организацию обработки персональных данных в ООО «Топвизор»;

- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

- ознакомление работников оператора с положениями законодательства РФ и локальными нормативными актами оператора в области персональных данных, в том числе требованиями к защите персональных данных;

- предоставление неограниченного доступа к настоящей политике;

- проведение методической работы с работниками оператора, занимающими должности, при замещении которых осуществляется обработка персональных данных;

- устанавливление правил доступа к персональным данным, обрабатываемым в информационной системе оператора, а также обеспечение учета всех действий с ними;

- оценка вреда, который может быть причинен субъектам персональных данных, а также эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы оператора;

- определение угроз безопасности персональных данных при их обработке оператором, оценка рисков, присущих обработке персональных данных, внедрение мер по снижению рисков, гарантирующих соответствующий уровень защиты (конфиденциальности) с учетом уровня развития техники и расходов на внедрение таких мер;

- обнаружение фактов несанкционированного доступа к персональным данным (утечки персональных данных) и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством РФ в области персональных данных;

- внутренний учет обработки персональных данных и контроль соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, настоящей политике;

- принятие иных мер для защиты персональных данных.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на:

- полную информацию об обрабатываемых оператором его персональных данных и способах их обработки;

- доступ к своим персональным данным, целям их обработки, сведениям о третьих лицах, которым передаются его персональные данные, а также к иным сведениям, предусмотренным законодательством РФ;

- уточнение, изменение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных;

- возражение против обработки его персональных данных для целей обеспечения законных интересов оператора, в том числе в целях маркетинга;

- ограничение обработки персональных данных (в случаях проверки точности персональных данных, законности их обработки на срок проведения проверок, истечения срока обработки данных при наличии судебных споров);

- осуществление оператором предусмотренных законом мер по защите персональных данных субъекта;

- обжалование действий или бездействий ООО «Топвизор», осуществляемых в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- защиту своих прав и законных интересов, в том числе на возмещение убытков;

- осуществление иных прав, предусмотренных законодательством РФ.

7. Права и обязанности оператора

7.1. Оператор в случае получения запроса субъекта персональных данных о получении доступа к своим персональным данным, внесении изменений, уточнений, блокировании, уничтожении его персональных данных, иных запросов, обязан в течении 30 (тридцати) календарных дней предоставить ответ и удовлетворить запрос субъекта или указать причины, по которым удовлетворить запрос не представляется возможным.

При наличии технической возможности оператор организует возможность направления электронного запроса оператору, при этом личность субъекта персональных данных должна быть подтверждена, например, наличием электронной цифровой подписи, иными средствами идентификации.

7.2. Отзыв согласия субъекта персональных данных на их обработку не оказывает влияние на законность прав оператора по их обработке до получения такого отзыва.

7.3. В случае утечки персональных данных оператор обязан незамедлительно (не позднее 3х рабочих дней) уведомить об этом субъекта персональных данных и дать рекомендации, позволяющие снизить возможные негативные последствия, а также принять все зависящие от оператора действия, позволяющие снизить риск ущерба.

7.4. Право субъекта персональных данных на удаление его данных реализуется оператором незамедлительно при наличии следующих оснований:

- персональные данные больше не требуются для целей, для которых они были получены;

- субъект данных отзывает свое согласие и отсутствует иное законное основание для обработки;

- субъект данных возражает против обработки согласно абз. 7 ст. 6.1 настоящей политики и отсутствуют имеющую преимущественную юридическую силу законные основания для обработки;

- персональные данные обрабатывались незаконно или имеются иных основания для уничтожения персональных данных в целях соблюдения действующего законодательства РФ и норм международного права.

Указанные в настоящем пункте правила не применяются в случае, если обработка данных необходима в целях соблюдения юридических обязанностей оператора в интересах государства, для судебной защиты по исковым требованиям, в иных случаях, установленных законодательством РФ и нормами международного права.

Оператор принимает все меры для сообщения об изменении или уничтожении персональных данных третьим лицам, которым были раскрыты персональные данные субъекта, за исключением государственных органов и случаев, когда это оказывается невозможным или требует несоразмерных усилий (расходов).

7.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ.

7.6. Оператор вправе вносить изменения в настоящую политику или утверждать ее в новой редакции по собственному усмотрению. Оператор обязуется не вносить существенных изменений, возлагающих на субъекта обязанности или влекущих ограничение его прав наряду с условиями, установленными настоящей политикой, без уведомления субъекта данных. Такое уведомление может быть направлено субъекту данных как путем личного ознакомления сотрудника ООО «Топвизор» или третьего лица, размещения на официальном сайте оператора, направления по электронным каналам или иным каналам связи.

8. Заключительные положения

8.1. Ответственность за соблюдение требований законодательства РФ в области персональных данных несут оператор и обрабатывающие данные лица.

8.2. Во всем ином, что не установлено настоящей политикой, необходимо руководствоваться действующим законодательством РФ, нормами международного права в области персональных данных, локальными актами, принятыми в ООО «Топвизор».