Политика Компании в отношении обработки персональных данных

Введение

Обеспечение конфиденциальности и безопасности обработки персональных данных Компании Mystique, (индивидуальный предприниматель Савинова Е.А. ИНН 525012529355, ОГРНИП 319527500027580, адрес: 603000, Нижегородская обл, г. Нижний Новгород, ул. Семашко 30, оф. 1) (далее- Компания) является одной из приоритетных задач организации.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами Компании.

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Компании и потребителей услуг Компании, чьи персональные данные обрабатываются организацией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Настоящая Политика в отношении обработки персональных данных в Компании (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

1. Понятие и состав персональных данных

Перечень персональных данных, подлежащих защите в Компании, определятся следующими нормативными актами Российской Федерации:

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 30 декабря 2001 года № 197-ФЗ «Трудовой кодекс Российской федерации»;
• Федеральный закон от 06 декабря 2001 года № 402-ФЗ «О бухгалтерском учёте»;
• Федеральный закон от 01 апреля1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
• Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";
• Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Сведениями, составляющими персональные данные, в Компании является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Действие настоящей Политики распространяется на все операции, совершаемые Компанией с персональными данными с использованием средств автоматизации или без их использования. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

2. Цели обработки персональных данных

Компания осуществляет обработку персональных данных в следующих целях:

• обеспечения соблюдения законов и иных нормативно-правовых актов;
• заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
• обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов)
• ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
• осуществление иных функций, полномочий и обязанностей, возложенных на Компанию законодательством РФ.

3. Объем и категории обрабатываемых данных, категории субъектов персональных данных

Компания может обрабатывать персональные данные следующих субъектов персональных данных:

• работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников;
• клиенты и контрагенты Компании (физические лица);
• представители/работники клиентов и контрагентов Компании (юридических лиц);
• посетители сайта (сайтов) Компании (далее - Сайт и Сайты).
• фамилия, имя, отчество субъекта персональных данных;
• место проживания (регион/город);
• специальность/область профессиональных интересов;
• номер мобильного телефона;
• адрес электронной почты (e-mail);
• история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

К персональным данным, обрабатываемым Компанией, относятся:

4. Порядок и условия обработки персональных данных

Обработка персональных данных Компанией осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

Перечень действий, совершаемых Компанией с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

Обработка персональных данных осуществляется Компанией при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.

При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории РФ.

5. Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствие со сроком действия договора (соглашением) с субъектом персональных данных, сроком исковой давности, достижением целей обработки, а также иными требованиями законодательства РФ.

В Компании создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Компании данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Права и обязанности

Компания как оператор персональных данных в праве:

• получать от субъекта персональных данных достоверную информацию;
• отстаивать свои интересы в суде;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) или соглашением субъекта персональных данных;
• отказывать в предоставлении персональных данных в случаях, предусмотренных действующим законодательством;
• использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

Компания как оператор персональных данных обязана:

• обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
• рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
• принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
• организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

Субъект персональных данных имеет право:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать перечень своих персональных данных, обрабатываемых Компанией и источник их получения;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

Субъект персональных данных имеет обязан:

• предоставлять Компании только достоверные данные о себе;
• предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
• сообщать Компании об уточнении (обновлении, изменении) своих персональных данных.

7. Принципы и условия обработки персональных данных

Обработка персональных данных в Компании производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ потребителя услуг Компании от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

7. Обеспечение безопасности персональных данных

Компания предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, согласно ч. 2 ст. 18.1, ч. 1 ст. 19 Закон о персональных данных.

Трансграничная передача персональных данных Компанией не осуществляется.

7. Заключительные положения

Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования Компании.

Копмпния имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна на Сайте по адресу: https://mst.center/personal-data/.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Компании.

Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.