Политика в отношении обработки персональных данных
Политика Общества с ограниченной ответственностью «КВАРТО» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика Общества с ограниченной ответственностью «КВАРТО» в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «КВАРТО» (далее – «Общество»).
1.3. Настоящая Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в сети «Интернет» на сайте Общества.
1.5. Основные понятия, используемые в настоящей Политике:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) субъект персональных данных – физическое лицо, являющееся обладателем персональных данных, а именно:
- физические лица, состоящие с Обществом в трудовых отношениях;
- физические лица, уволившиеся из Общества;
- физические лица, являющиеся родственниками лиц, состоящих с Обществом в трудовых отношениях либо уволившихся из Общества;
- физические лица, являющиеся соискателями (кандидатами) на замещение вакантных должностей в Обществе, рекомендатели соискателей;
- физические лица, состоящие или состоявшие с Обществом в гражданско-правовых отношениях;
- физические лица – члены органов управления, акционеры, участники, работники, представители клиентов и контрагентов Общества, состоящих или состоявших с Обществом в гражданско-правовых отношениях;
- физические лица, должностные лица, представители органов и организаций, направившие обращения в адрес Общества;
- физические лица, не являющиеся работниками Общества (участники, члены органов управления Общества, в том числе бывшие) обязанность обработки персональных данных которых возложена на Общество в соответствии с законодательством Российской Федерации;
- физические лица, являющиеся пользователями сайта Общества в сети «Интернет»;
- иные физические лица, доступ к персональным данным которых Общество получило на законных основаниях в ходе осуществлениям им своей деятельности в соответствии с уставом и обработка персональных данных которых соответствует целям, указанным в разделе 2 настоящей Политики;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
6) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10)информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11)уполномоченный орган – федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;
12)куки (cookies) – фрагменты данных, отправляемых веб-сервером браузеру при посещении сайта Общества в сети «Интернет», часть данных, автоматически располагающаяся на жестком диске компьютера посетителя сайта Общества при каждом посещении сайта Общества, уникальный идентификатор браузера для сайта Общества. Куки дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта, оценку результатов и таргетирование поведенческой рекламы. Большинство веб-браузеров разрешают использование куки, однако можно изменить настройки для отказа от работы с куки или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа куки в браузере будет запрещена.
1.6. Основные права и обязанности Общества в качестве оператора персональных данных.
1.6.1. Общество имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Общество обязано:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- предоставлять необходимую информацию в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа в сроки, установленные законодательством РФ.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг Общества;
- обжаловать в установленном законом порядке неправомерные действия или бездействие Общества при обработке его персональных данных.
1.8. Контроль за исполнением Обществом требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
1.10. Общество вправе вносить изменения в настоящую Политику. Указанные изменения подлежат опубликованию в сети «Интернет» на сайте Общества и становятся обязательным для лиц, давших согласие на обработку своих персональных данных Обществом, с момента такого опубликования, если иное не предусмотрено договорами с указанными лицами, согласием на обработку персональных данных, которое дали такие лица, либо если указанные лица до опубликования изменений в настоящую Политику на сайте Общества не были ознакомлены с изменениями иным способом.
2. Цели обработки персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Обществом персональных данных осуществляется в следующих целях:
- осуществление Обществом своей деятельности в соответствии с уставом, включая заключение, исполнение и расторжение гражданско-правовых договоров с клиентами и контрагентами, а также регулирование правоотношений в связи с заключением, исполнением и расторжением таких договоров;
- исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получение образования и продвижение по службе, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учёта, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования; предоставление Обществом льгот родственникам работников;
- привлечение и отбор кандидатов на работу в Обществе;
- обработка обращений и подготовка ответов на обращения субъектов персональных данных либо органов и организаций, представителями (работниками) которых являются субъекты персональных данных;
- исполнение законодательства в сфере корпоративных отношений;
- привлечение клиентов, распространение сведений о предлагаемых Обществом товарах, маркетинговых акциях, а также иных сведений посредством принадлежащего Обществу сайта в информационно-телекоммуникационной сети «Интернет», в том числе для создания учётной записи, предоставления технической поддержки, связанной с использованием сайта Общества, оформления заказов, получения уведомлений о состоянии заказов; получения новостей, информации о товарах, мероприятиях, рекламных акциях или услугах; участия в рекламных акциях, опросах; использования иных имеющихся на сайте сервисов.
3. Правовые основания обработки персональных данных
3.1. Правовыми основаниями обработки персональных данных являются нормативные правовые акты, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Семейный кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества.
3.2. Правовыми основаниями обработки персональных данных также являются:
- договоры, заключаемые между Обществом и субъектами персональных данных либо лицами, представителями (работниками) которых являются субъекты персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Общество может обрабатывать персональные данные следующих категорий субъектов персональных данных:
4.2.1. Кандидаты для приема на работу в Общество – для целей для привлечения и отбора кандидатов для приёма на работу в Общество:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные, включая номера телефонов и адреса электронной почты, аккаунты в мессенджерах и/или социальных сетях;
- сведения об образовании и квалификации (данные об основном/высшем/дополнительном образовании, данные о наличии/отсутствии ученых степеней, данные о прохождении курсов повышения квалификации, опыте работы, квалификации);
- сведения о трудовой деятельности, включая наименования и адреса текущего и предыдущих работодателей, сведения о текущей и предыдущих занимаемых должностях и периодах работы;
- сведения о навыках (данные о владении иностранным языком, данные об управлении транспортным средством, дополнительные данные о навыках, связанных с трудовой деятельностью);
- размер заработной платы на текущем и предыдущих местах работы;
- размер ожидаемой заработной платы;
- иные персональные данные, раскрытые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и уволенные работники Общества – для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- изображение (фотография) (не используется для установления Обществом личности субъекта персональных данных);
- реквизиты документа, удостоверяющего личность; реквизиты документа, удостоверяющего личность за пределами Российской Федерации; реквизиты водительского удостоверения (в случае выдачи доверенности на право управления транспортным средством);
- адрес регистрации по месту жительства; адрес регистрации по месту пребывания; адрес фактического места жительства;
- контактный данные, включая номера телефонов, адреса электронной почты, аккаунты в мессенджерах и/или социальных сетях;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- реквизиты банковского счёта, банковской карты, иные платёжные реквизиты для перечисления заработной платы, осуществления иных выплат в пользу работника;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; автобиография;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- специальность;
- занимаемая должность;
- размер заработной платы;
- содержание трудового договора, а также иных договоров, заключённых с работником;
- содержание приказов по личному составу в отношении работника; основания к приказам по личному составу в отношении работника;
- содержание личного дела и трудовой книжки;
- сведения о нарушениях работником законодательства и трудовой дисциплины в ходе выполнения своей трудовой функции и сведения, полученные в рамках служебных расследований;
- данные, которые могут потребоваться для оценки выполнения должностных обязанностей, включая данные об учётной записи, использовании работником программного обеспечения, оборудования, электронной почты, иных технических средств;
- информация, проходящая через электронный почтовый сервер Общества и (или) через иные информационные системы Общества (и информационными системы третьих лиц, которые Общество использует по договору с такими третьими лицами), включая переписку работника и ее содержание – любая переписка с участием работника вне зависимости от её формы на электронных и бумажных носителях, которая находится или может находиться в распоряжении Общества);
- сетевой адрес пользовательского устройства (IP-адрес), сведения о факте, дате, времени посещения сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», сведения о факте, дате, времени посещения сетевых адресов, сведения об объеме потребленного сетевого трафика, сведения о пользовательском устройстве, географический адрес точки подключения пользователя к информационно-телекоммуникационной сети «Интернет»;
- сведения о направлении, целях, датах, продолжительности, количестве и результатах деловых поездок (служебных командировок и служебных поездок);
- сведения из страховых полисов добровольного медицинского страхования в случае заключения Обществом договоров добровольного медицинского страхования, по которым работник выступает в качестве застрахованного лица;
- сведения о семейном положении, составе семьи и близких родственниках;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- сведения об удержании алиментов;
- сведения о суммах удержанных и уплаченных в бюджет налогов при исполнении Обществом обязанностей в качестве налогового агента в отношении Работника;
- сведения о доходах на предыдущих местах работы;
- содержание рекомендаций, характеристик, выданных работнику;
- иные персональные данные, предоставляемые работниками Обществу в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников и уволенных работников Общества – для целей предоставления льгот членам семьи работников Общества:
- фамилия, имя, отчество;
- степень родства по отношению к работнику;
- дата рождения;
- реквизиты документа, удостоверяющего личность;
- иные персональные данные, передаваемые работниками Обществу для целей предоставления льгот членам семьи работников.
4.2.4. Клиенты и контрагенты Общества (физические лица) – для целей осуществления Обществом своей деятельности в соответствии с уставом, включая заключение, исполнение и расторжение гражданско-правовых договоров с клиентами и контрагентами, а также регулирование правоотношений в связи с заключением, исполнением и расторжением таких договоров:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства; адрес регистрации по месту пребывания; адрес фактического места жительства;
- контактные данные, включая номера телефонов, адреса электронной почты, аккаунты в мессенджерах и/или социальных сетях;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- реквизиты банковского счёта и банковской карты, иные платёжные реквизиты;
- иные персональные данные, предоставляемые Обществу клиентами и контрагентами (физическими лицами) в целях заключения, исполнения и расторжения договоров с клиентами и контрагентами.
4.2.5. Члены органов управления, акционеры, участники, работники, представители клиентов и контрагентов Общества – для целей осуществления Обществом своей деятельности в соответствии с уставом, включая заключение, исполнение и расторжение гражданско-правовых договоров с клиентами и контрагентами, а также регулирование правоотношений в связи с заключением, исполнением и расторжением таких договоров:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства; адрес регистрации по месту пребывания; адрес фактического места жительства;
- реквизиты документа, подтверждающего полномочия представителя;
- занимаемая должность;
- контактные данные, включая номера телефонов, адреса электронной почты, аккаунты в мессенджерах и/или социальных сетях;
- иные персональные данные, предоставляемые Обществу в целях заключения, исполнения и расторжения гражданско-правовых договоров с клиентами и контрагентами.
4.2.6. Физические лица, должностные лица, представители органов и организаций, направившие обращения в адрес Общества – для целей обработки обращений и подготовки ответов на обращения субъектов персональных данных либо органов и организаций, представителями (работниками) которых являются субъекты персональных данных:
– персональные данные, раскрытые субъектом персональных данных при направлении обращения в адрес Общества.
4.2.7. Физические лица, не являющиеся работниками Общества (участники, члены органов управления Общества, в том числе бывшие), – для целей исполнения Обществом обязанностей, возложенных на него законодательством в сфере корпоративных отношений:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства; адрес регистрации по месту пребывания; адрес фактического места жительства;
- контактный данные, включая номера телефонов, адреса электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- реквизиты банковского счёта, банковской карты, иные платёжные реквизиты для осуществления предусмотренных законом выплат в пользу субъекта персональных данных;
- сведения о суммах удержанных и уплаченных в бюджет налогов при исполнении Обществом обязанностей в качестве налогового агента в отношении субъекта персональных данных;
- сведения о размере принадлежащей субъекту персональных данных доли в уставном капитале Общества;
- иные персональные данные, предоставленные Обществу субъектом персональных данных в целях исполнения Обществом обязанностей, возложенных на него законодательством в сфере корпоративных отношений.
4.2.8. Физические лица, являющиеся пользователями сайта Общества в сети «Интернет» – для целей привлечения клиентов, распространения сведений о предлагаемых Обществом товарах, маркетинговых акциях, а также иных сведений посредством принадлежащего Обществу сайта в сети «Интернет», в том числе для создания субъектом персональных данных учётной записи, предоставления субъекту персональных данных технической поддержки, связанной с использованием сайта, оформления и исполнения Обществом заказов, получения субъектом персональных данных уведомлений о состоянии заказов; получения субъектом персональных данных новостей, информации о товарах, мероприятиях, рекламных акциях или услугах; участия субъекта персональных данных в рекламных акциях, опросах; использования субъектом персональных данных иных имеющихся на сайте сервисов:
- фамилия, имя, отчество;
- номер телефона;
- информация, введённая при авторизации на сайте (имя пользователя, пароль, адрес электронной почты);
- адрес доставки товара;
- история заказов;
- сведения, собираемые посредством метрических программ;
- технические характеристики устройства (модель устройства, сведения об операционной системе, размере экрана, IP адрес; сведения о браузере);
- адрес и/или часть URL сайта, элемент сайта;
- сведения о просмотренных страницах сайта;
- сведения о сторонних приложениях, которые использует пользователь при взаимодействии с сайтом;
- сведения о UTM-метках (средствах анализа способов переходов на сайт);
- сведения о ссылках, открытых при использовании сайта;
- количество посещений, времени использования, скорости запуска сайта;
- информация, оставленная пользователем в форме обращения на сайте (включая контактные данные: имя, контактный адрес электронный почты; контактный телефон, место работы/должность, почтовый адрес, адрес местонахождения/местожительства);
- сведения о пользовательском идентификаторе, который присвоен системой веб-аналитики, используемой сайтом;
- сведения о сторонних приложениях, которые использует пользователь при взаимодействии с сайтом;
- информация из куки (cookies).
4.3. Общество вправе предоставлять персональные данные, указанные в п. 4.2.8 настоящей политики третьим лицам (курьерские службы, транспортные компании, организации почтовой связи и т.п.) в целях исполнения заказов субъекта персональных данных, а также информирования субъекта персональных данных о товарах, мероприятиях, рекламных акциях или услугах Общества. Такие персональные данные предоставляются третьим лицам исключительно в объёме, обусловленном предусмотренными настоящим пунктом целями.
4.4. Обществом не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
4.5. Обществом не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящей Политикой.
5. Порядок и условия обработки персональных данных. Реализуемые требования к защите персональных данных
5.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такого согласия в случаях, предусмотренных законодательством Российской Федерации.
5.3. Общество осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Общества, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 настоящей Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Общества;
- использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.7. Передача персональных данных органам дознания и следствия, в уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. При сборе персональных данных, в том числе посредством сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
5.9. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.10. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых указанные сроки предусмотрены законодательством об архивном деле в Российской Федерации.
5.11. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.12. Срок хранения персональных данных, указанных в подп. 4.2.8 настоящей Политики, ограничивается периодом работы принадлежащего Обществу сайта в сети «Интернет» с учётом положений п. 5.9 настоящей Политики.
5.13. Общество прекращает обработку персональных данных в следующих случаях:
- выявлен факт неправомерной обработки персональных;
- достигнута цель обработки персональных данных;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда в соответствии с Законом о персональных данных обработка этих данных допускается только с согласия субъекта персональных данных.
5.14. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Общество прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо иным соглашением между Обществом и субъектом персональных данных либо если
- Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.
- При обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных обработка персональных данных прекращается в срок, не превышающий 10 рабочих дней с даты получения Обществом соответствующего требования, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока.
- Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Общества, осуществляющих обработку персональных данных
- осуществляет внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Общества.
6. Взаимодействие с субъектами персональных данных, уточнение, уничтожение персональных данных
6.1 Субъект персональных данных имеет право на получение информации, касающейся обработки Обществом его персональных данных, указанной в ч. 7 ст. 14 Закона о персональных данных. Такая информация предоставляется Обществом субъекту персональных данных или его представителю течение 10 рабочих дней с момента соответствующего обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.2. Запрос, указанный в п. 6.1 настоящей Политики, должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. Общество предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных и настоящей Политики все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.5. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.8. При выявлении Обществом, уполномоченным органом или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество:
- в течение 24 часов – уведомляет уполномоченный орган о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по вопросам, связанным с инцидентом;
- в течение 72 часов – уведомляет уполномоченный орган о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.9. Общество прекращает обработку персональных данных и обеспечивает их уничтожение или обезличивание, обеспечивает прекращение обработки и уничтожение персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в сроки, установленные Законом о персональных данных, в следующих случаях:
- достижение цели обработки персональных данных или утраты необходимости достижения такой цели;
- достижение максимальных сроков хранения документов, содержащих персональные данные;
- истечение срока обработки персональных данных, установленного при сборе персональных данных;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки;
- невозможность устранения допущенных нарушений при обработке персональных данных;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется.
6.10. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
6.11. Порядок и способы уничтожения персональных данных устанавливаются в локальных нормативных актах Общества.