Интернет-магазин представительского класса

Заказать звонок

Задать вопрос

Войти

Ваш город

1-й Неопалимовский переулок д.8

Ваш адрес: выбрать

Избранные товары 0 Корзина 0

Правовая информация

УТВЕРЖДАЮ

Генеральный директор

ЗАО «Т и К ПРОДУКТЫ»

___________Зуб В.Ю.

28 февраля 2023 г.

Политика

ЗАО «Т и К ПРОДУКТЫ»

в отношении обработки персональных данных

1. Термины, определения и сокращения

1.1. Основные понятия, используемые в Политике:

Персональные данные (ПДн)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект ПДн - физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн.

Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Использование персональных данных - действия (операции) с персональными данными, совершаемые работниками ЗАО «ТиК ПРОДУКТЫ» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов ПДн, либо иным образом, затрагивающих их права и свободы или права и свободы других лиц.

Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания.

Информационная система персональных данных (ИСПДн)- информационная система, включающая в себя совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Материальный носитель - бумажный или машиночитаемый носители информации (в том числе магнитный и электронный), на которых осуществляются запись и хранение сведений,

Накопление и систематизация персональных данных - организация размещения персональных данных, которое обеспечивает быстрый поиск и отбор нужных сведений, методическое обновление данных, защиту их от искажений, потери. Накопление и систематизация может осуществляется как в ИСПДн, так и на иных носителях персональных данных (бумажных и электронных).

Неправомерные действия с ПДн - нарушение установленного данными правилами порядка обработки ПДн.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

· сбор;

· запись;

· систематизацию;

· накопление;

· хранение;

· уточнение (обновление, изменение);

· извлечение;

· использование;

· передачу (распространение, предоставление, доступ);

· обезличивание;

· блокирование;

· удаление;

· уничтожение.

Общедоступные персональные данные- персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Передача персональных данных

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

информация - сведения (сообщения, данные) независимо от формы их представления.

биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

Специальные категории ПДн - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также иные ПДн, относимые действующим законодательством к специальным категориям ПДн.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Назначение Политики

Настоящая Политика Закрытого акционерного общества «Т и К ПРОДУКТЫ» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

Политика действует в отношении всех персональных данных, которые обрабатывает Закрытое акционерное общество «Т и К ПРОДУКТЫ» (далее - Оператор, ЗАО «Т и К ПРОДУКТЫ», 121357, г. Москва, Можайское шоссе, д.3/1, стр.1).

Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

Политика разработана в соответствии со следующими нормативно-правовыми документами Российской Федерации:

· Конституция Российской Федерации;

· Гражданский кодекс Российской Федерации;

· Трудовой кодекс Российской Федерации;

· Налоговый кодекс Российской Федерации;

· Федеральный закон от 26.12.1995 N 208-ФЗ "Об акционерных обществах"

· Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

· Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) "Об утверждении Перечня сведений конфиденциального характера"

· Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

· Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Федеральный закон от 01.04.1996 N 27-ФЗ (ред. от 07.10.2022) "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования".
Федеральный закон от 22.10.2004 N 125-ФЗ (ред. от 11.06.2021) "Об архивном деле в Российской Федерации".

ЗАО «ТиК ПРОДУКТЫ» осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов и юридически значимых документов, во исполнение которых и в соответствии с которыми ЗАО «ТиК ПРОДУКТЫ» осуществляет обработку персональных данных:

· Трудовой кодекс Российской Федерации

· Гражданский кодекс Российской Федерации

· Устав ЗАО «ТиК ПРОДУКТЫ»

· Договоры, заключаемые между ЗАО «ТиК ПРОДУКТЫ» и субъектом персональных данных;

· Договоры, заключаемые между ЗАО «ТиК ПРОДУКТЫ» и другими юридическими лицами, в рамках которых предполагается обработка персональных данных;

· Согласие на обработку персональных данных.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

Обработка персональных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

В Обществе обрабатываются следующие персональные данные:

- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);

- пол;

- дата (число, месяц, год) и место рождения;

- фотографическое изображение;

- сведения о гражданстве;

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта);

- данные водительского удостоверения,

- страховой номер индивидуального лицевого счета (СНИЛС);

- идентификационный номер налогоплательщика (ИНН);

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;

- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);

- сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);

- информация о владении иностранными языками;

- сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);

- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;

- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);

- сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);

- сведения о доходах, обязательствах по исполнительным документам;

- номера расчетного счета, банковской карты;

- сведения о состоянии здоровья;

- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует целям обработки;

- иные персональные данные, которые работник пожелал сообщить о себе, и обработка которых соответствует целям обработки.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

ЗАО «ТиК ПРОДУКТЫ» обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

3.2. Целью обработки персональных данных является:

· Осуществление деятельности, предусмотренной Уставом ЗАО «ТиК Продукты».

· Обеспечение соблюдения актов законодательства и иных нормативно-правовых актов, содержащих нормы трудового права, заключения, исполнения и прекращения трудовых, гражданско-правовых и иных договоров и соглашений с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами.

· Ведение кадрового и бухгалтерского учета, содействия работникам в трудоустройстве, обучении и продвижении по работе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой НДФЛ, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с действующим законодательством.

· Продвижение товаров на рынке, предоставления сведений уведомительного или маркетингового характера (в том числе путем осуществления прямых контактов с клиентом (потенциальным клиентом) с помощью средств связи, включая электронные средства связи, СМС-сообщения, э/почта, веб-сайт https://shop.mgnl.ru ), включая сведения о новых продуктах, услугах, совместных продуктах ЗАО «ТиК ПРОДУКТЫ» и третьих лиц, продуктах (товарах, работах, услугах) третьих лиц, проводимых акциях, мероприятиях, по которым имеется предварительное согласие клиента на их получение», а также предоставление доступа Пользователю к сервисам, которые реализованы в мобильном приложении и на веб-сайте https://shop.mgnl.ru и имеется предварительное согласие.

· Исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

· Противодействие коррупции в ЗАО «Т и К ПРОДУКТЫ».

Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Для достижения Оператором целей, заявленных в разделе 3 Политики, осуществляется обработка следующих категорий Субъектов:

- работники;

- уволенные работники;

- кандидаты на замещение вакантных должностей Оператора;

- родственники работников;

- участники (акционеры, учредители)

- бенефициарные владельцы;

- аффилированные лица;

- ревизионная комиссия (ревизоры)

- клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители;

- представители/работники клиентов и контрагентов Оператора (юридических лиц).

- лиц, желающих заключить гражданско-правовой договор;

- физические лица, с которыми заключены гражданско-правовые договоры;

- третьих лиц, передающих свои персональные данные для установления делового сотрудничества, выполнения контрагентами своих договорных и иных обязательств.

- клиентов, в том числе покупателей, пользователей сайта https://shop.mgnl.ru/ и иных информационных ресурсов (сайтов, приложений) в сети Интернет;

-физические лица, персональные данные которых сделаны ими общедоступными.

· Для достижения цели «Осуществление деятельности, предусмотренной Уставом ЗАО «ТиК Продукты».

- участники (акционеры, учредители)
- бенефициарные владельцы;
- аффилированные лица;
- работники;
- контрагенты
- ревизионная комиссия (ревизоры)

Категории персональных данных: фамилия, имя, отчество, дата рождения, паспортные данные или данные иного документа, удостоверяющего личность, адрес места жительства, адрес электронной почты, мобильный номер, реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта), сведения о банковских счетах (для перечисления заработной платы, выплаты дивидендов).

Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение.

Сроки обработки персональных данных определяются в соответствии со сроками, установленным Федеральным законом № 152-ФЗ, сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также ликвидация юридического лица, реорганизация, отзыв согласия от субъекта ПДн.

· Общество не осуществляет трансграничную передачу персональных данных.

· Обработка персональных данных осуществляется с передачей по внутренней сети юридического лица, с передачей по сети Интернет, смешанная.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Для достижения цели "Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников".

Оператор осуществляет обработку следующих категорий Субъектов:

- работники Оператора;

- уволенные работники;

- кандидаты на замещение вакантных должностей;

- родственники работников Оператора.

Категории персональных данных: фамилия, имя, отчество, год рождения, гражданство, дата рождения, место рождения, фотографическое изображение, семейное положение, образование, профессия, паспортные данные или данные иного документа, удостоверяющего личность; данные водительского удостоверения, адрес регистрации по месту жительства; адрес фактического проживания; сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ); сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ); ИНН; СНИЛС; «Уведомление о регистрации в системе индивидуального учета (АДИ-РЕГ)»), контактный телефон; сведения о воинском учете; сведения о трудовой деятельности; стаже работы и занимаемых должностях; электронная почта; данные водительского удостоверения; сведения о документах, подтверждающих социальные льготы и страхование; сведения об образовании, аттестации и установлению квалификации, наименование учебного заведения, курс, наименование и код специальности, результаты освоения образовательных программ, сведения о банковских счетах (для перечисления заработной платы); специальные категории персональных данных в форме сведений (справок, заключений, выписок, включая, документы, подтверждающие прохождении вакцинации, наличие медицинского отвода и иных документов) о состоянии здоровья, сведения об ограничениях трудовой деятельности по состоянию здоровья.

Перечень действий с персональными данными: cбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача третьим лицам), обезличивание, блокирование, уничтожение.

Сроки обработки персональных данных определяются в соответствии сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также ликвидация юридического лица, реорганизация, отзыв согласия от субъекта ПДн.

Обработка персональных данных осуществляется с передачей по внутренней сети юридического лица, с передачей по сети Интернет, смешанная.

Общество не осуществляет трансграничную передачу персональных данных.

Для достижения цели «Ведение кадрового и бухгалтерского учета, содействия работникам в трудоустройстве, обучение и продвижение по работе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой НДФЛ, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с действующим законодательством»

Оператор осуществляет обработку следующих категорий Субъектов:

- работники Оператора;

- уволенные работники Оператора;

- кандидаты на замещение вакантных должностей;

- родственники работников Оператора.

Категории персональных данных: фамилия, имя, отчество, год рождения, гражданство, дата рождения, место рождения, адрес места жительства/пребывания, адрес фактического проживания; фотографическое изображение, семейное положение, образование, профессия, паспортные данные или данные иного документа, удостоверяющего личность; ИНН; СНИЛС; «Уведомление о регистрации в системе индивидуального учета (АДИ-РЕГ)»), контактный телефон; сведения о воинском учете; сведения о трудовой деятельности; сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ), сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ), данные водительского удостоверения; стаже работы и занимаемых должностях; электронная почта; сведения о документах, подтверждающих социальные льготы и страхование; сведения об образовании, аттестации и установлению квалификации, наименование учебного заведения, курс, наименование и код специальности, результаты освоения образовательных программ, сведения о банковских счетах (для перечисления заработной платы); специальные категории персональных данных в форме сведений (справок, заключений, выписок, включая, документы, подтверждающие прохождении вакцинации, наличие медицинского отвода и иных документов) о состоянии здоровья, сведения об ограничениях трудовой деятельности по состоянию здоровья.

Срок обработки персональных данных определяется: сроком согласия, данным субъектом персональных данных на их обработку, ликвидация юридического лица, реорганизация, отзыв согласия от субъекта ПДн.

Общество не осуществляет трансграничную передачу персональных данных.

Для достижения цели (продвижения товаров на рынке), предоставления сведений уведомительного или маркетингового характера (в том числе путем осуществления прямых контактов с клиентом (потенциальным клиентом) с помощью средств связи, включая электронные средства связи, э/почта, СМС-сообщения, веб-сайт https://shop.mgnl.ru), включая сведения о новых продуктах, услугах, совместных продуктах ЗАО «ТиК ПРОДУКТЫ» и третьих лиц, продуктах (товарах, работах, услугах) третьих лиц, проводимых акциях, мероприятиях, по которым имеется предварительное согласие клиента на их получение», а также предоставление доступа Пользователю к сервисам, которые реализованы в мобильном приложении и на веб-сайте https://shop.mgnl.ru и имеется предварительное согласие;

Оператор осуществляет обработку следующих категорий Субъектов:

представители/работники клиентов и контрагентов Оператора (юридических лиц);

- клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители

- пользователи веб-сайта https://shop.mgnl.ru.

Категории персональных данных: фамилия, имя, отчество, дата рождения, адрес электронной почты, мобильный номер, реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта), IP-адрес Пользователя, файлы «cookie», запросы, как посетителя веб-сайта, данные браузера.

Сроки обработки персональных данных определяются: сроком согласия, данным субъектом персональных данных на их обработку, а также ликвидация юридического лица, реорганизация, отзыв согласия от субъекта ПДн.

Общество не осуществляет трансграничную передачу персональных данных.

Для достижения цели "Заключение и исполнение договоров, стороной которых является Субъект", в том числе для исполнения договора, стороной которого либо выгодоприобретателем или поручителем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Оператор осуществляет обработку следующих категорий Субъектов:

- представители/работники клиентов и контрагентов Оператора (юридических лиц);

- клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.

Категории персональных данных: фамилия, имя, отчество, дата рождения, адрес места жительства/пребывания; паспортные данные, СНИЛС, ИНН, адрес электронной почты, мобильный номер, реквизиты доверенности или иного документа, подтверждающего его полномочия (если согласие дает представитель субъекта).

Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача третьим лицам), обезличивание, блокирование, уничтожение.

Сроки обработки персональных данных определяются: сроками, установленным Федеральным законом № 152-ФЗ, сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также ликвидация юридического лица, реорганизация, отзыв согласия от субъекта ПДн.

Общество не осуществляет трансграничную передачу персональных данных.

Для достижения цели "Противодействие коррупции в ЗАО «ТиК ПРОДУКТЫ» Оператор осуществляет обработку следующих категорий Субъектов:

- работники Оператора

- кандидаты на замещение вакантных должностей.

Категории персональных данных: фамилия, имя, отчество, дата рождения, адрес места жительства/пребывания; паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности.

Общество не осуществляет трансграничную передачу персональных данных.

Обработка персональных данных осуществляется с передачей по внутренней сети юридического лица, без передачи по сети Интернет, смешанная.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящей Политикой.

Обработка персональных данных осуществляется на основе следующих принципов:

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ЗАО «ТиК ПРОДУКТЫ»;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок не установлен Федеральным законом № 152-ФЗ, либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законодательством РФ.

Обработка персональных данных в Обществе выполняется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Обработка ПДн на веб-сайте https://shop.mgnl.ru

ЗАО «ТиК Продукты» обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на веб-сайте https://shop.mgnl.ru

Заполняя соответствующие формы и/или отправляя свои ПДн ЗАО «ТиК Продукты», Пользователь выражает свое согласие с данной Политикой.

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

Субъект персональных данных определяет перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В согласие включаются, в частности:

· фамилия, имя, отчество (при наличии), контактная информация субъекта персональных данных;

· сведения об операторе, его информационных ресурсах, с помощью которых предоставляется доступ к данным;

· цель обработки данных;

· категории и перечень данных, на обработку которых дается согласие;

· срок действия согласия.

Оператор обязан обеспечить физическому лицу возможность определить перечень персональных данных, разрешенных для распространения, по каждой категории данных, указанной в согласии на обработку (ч. 1 ст. 10.1 Закона о персональных данных).

В согласии физическое лицо вправе установить (ч. 9 ст. 10.1 Закона о персональных данных, п. п. 7, 8 Требований):

· запрет передачи (кроме предоставления доступа) сведений оператором неограниченному кругу лиц;

· запрет обработки (кроме получения доступа) сведений неограниченным кругом лиц;

· условия обработки (кроме получения доступа) сведений неограниченным кругом лиц.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

5.2. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:

- получения оригиналов документов либо их копий;

- копирования оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- создания документов, содержащих персональные данные, на бумажных и электронных носителях;

- внесения персональных данных в информационные системы персональных данных.

В Обществе используются следующие информационные системы:

- корпоративная электронная почта;

- система электронного документооборота;

- система нормативно-справочной информации;

- система управления персоналом;

- веб-сайт https://shop.mgnl.ru

Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

Обработка персональных данных в Обществе прекращается в следующих случаях:

- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки:

- в течение трех рабочих дней с даты выявления такого факта;

- при достижении целей их обработки (за некоторыми исключениями);

- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия.

Субъект может в любой момент отозвать свое согласие на обработку ПДн, направив ЗАО «Т и К ПРОДУКТЫ» уведомление на адрес 121357, г. Москва, Можайское шоссе, д.3/1, стр.1 с пометкой «Отзыв согласия на обработку персональных данных».

- при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

Общество уничтожает персональные данные субъекта (или обеспечивает их уничтожение):

- по требованию субъекта персональных данных (или его представителя), если он установит, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14);

- при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 3 ст. 20);

- при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность (ч. 3 ст. 21);

- при достижении цели обработки персональных данных (ч. 4 ст. 21);

- при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных (ч. 5 ст. 21).

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных). Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отсутствия возможности уничтожения персональных данных в течение установленных Законом сроков, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.

Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.

Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом генерального директора.

6. ПРАВА И ОБЯЗАННОСТИ, СВЯЗАННЫЕ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При обработке ПДн Оператор обязан:

- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн и если иное не предусмотрено законодательством;

- использовать ПДн субъекта без его согласия в случаях, предусмотренных законодательством;

- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством;

- предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговым, правоохранительным органам и др.);

- по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных законодательством;

- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом N 152-ФЗ и иными законодательными актами РФ;

- до начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством. Уведомление об обработке ПДн, содержащее сведения, предусмотренные частью 3 статьи 22 Закона N 152-ФЗ, подписывается уполномоченным лицом и направляется в уполномоченный орган в виде документа на бумажном носителе или в форме электронного документа в порядке, установленном или рекомендованном уполномоченным органом;

- в случае изменения сведений, указанных в уведомлении об обработке ПДн (в том числе предусмотренных частью 3 статьи 22 Закона N 152-ФЗ), а также в случае прекращения обработки ПДн уведомить об этом уполномоченный орган по защите прав субъектов ПДн в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн;

- при получении запроса уполномоченного органа по защите прав субъектов ПДн представить уполномоченному органу документы и локальные акты, указанные в части 1 статьи 18.1 Закона N 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в части 1 статьи 18.1 Закона N 152-ФЗ, сообщить в уполномоченный орган необходимую информацию в течение 30 дней с даты получения такого запроса;

- выполнять иные обязанности, предусмотренные законом или договором.

Предоставить Субъекту по его просьбе следующую информацию:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- применяемые Оператором способы обработки ПДн;

- наименование и местонахождение Оператора;

- сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- срок, в течение которого действует согласие субъекта, а также способ его отзыва;

- порядок осуществления Субъектом прав, предусмотренных Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

Разъяснить Субъекту юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом.

Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

Предоставить Субъекту (если ПДн получены не от Субъекта, до начала обработки таких ПДн) следующую информацию (за исключением случаев, предусмотренных настоящей Политикой):

- наименование и адрес Оператора или его представителя;

- цель обработки ПДн и ее правовое основание;

- предполагаемых пользователей ИСПДн;

- установленные Федеральным законом права Субъекта;

- источник получения ПДн.

Оператор освобождается от обязанности предоставить Субъекту сведения Политики, в случаях если:

- Субъект уведомлен об осуществлении обработки его ПДн соответствующим Оператором;

- ПДн получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;

- ПДн сделаны общедоступными Субъектом или получены из общедоступного источника.

6.2. Субъект имеет право на:

Получение информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн Оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые Оператором способы обработки ПДн;

- наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления Субъектом прав, предусмотренных Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

Требование от Оператора уточнения его ПДн, их блокирования или уничтожения, а также принятие предусмотренных законом мер по защите своих прав, в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Требовать предоставления перечня своих ПДн (ПДн субъекта), обрабатываемых Оператором, и информации об источнике их получения, если иное не предусмотрено законодательством;

Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные (неточные, неактуальные) его ПДн (ПДн субъекта), обо всех произведенных в них исключениях, исправлениях или дополнениях;

На защиту своих прав (прав субъекта ПДн) и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

- определять своих представителей для защиты своих ПДн;

- отозвать согласие на обработку своих ПДн (ПДн субъекта), за исключением случаев, предусмотренных законодательством;

- реализовывать иные права, предусмотренные законом или договором.

Обжалование действий или бездействий Оператора в уполномоченном органе по защите прав Субъектов или в судебном порядке, если Субъект считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы.

7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений. Обеспечение безопасности персональных данных.

7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

С целью защиты персональных данных в Обществе приказами генерального директора назначается (утверждаются):

- работник, ответственный за организацию обработки персональных данных;

- перечень должностей, при замещении которых обрабатываются персональные данные;

- перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;

- порядок доступа в помещения, в которых ведется обработка персональных данных;

- порядок передачи персональных данных в пределах Общества;

- форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

- порядок защиты персональных данных при их обработке в информационных системах персональных данных;

- порядок проведения внутренних расследований, проверок;

- иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

Материальные носители персональных данных хранятся в шкафах, сейфах, ящиках, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.

Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.

В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных. Осуществляется ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и обучение указанных работников.

В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

В Обществе проводятся внутренние расследования в следующих ситуациях:

- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;

- в иных случаях, предусмотренных законодательством в области персональных данных.

Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;

- соответствием указанных актов, требованиям законодательства в области персональных данных.

7.2. Внутренний контроль проходит в виде внутренних проверок.

Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Генеральным директором.

Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

По итогам внутренней проверки оформляется докладная записка на имя генерального директора. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.

Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:

- об инциденте;

- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

- принятых мерах по устранению последствий инцидента;

- представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

В течение 72 часов Общество обязано сделать следующее:

- уведомить Роскомнадзор о результатах внутреннего расследования;

- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с настоящей Политикой.

В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

В целях обеспечения адекватной защиты ПДн ЗАО «ТиК ПРОДУКТЫ» проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения безопасности их ПДн, а также определяет актуальные угрозы безопасности ПДн при их обработке в ИСПДн.

Для проведения оценки такого вреда работодатель назначает ответственного либо утверждает комиссию.

ЗАО «ТиК ПРОДУКТЫ» для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:

Установлены следующие виды оценки:

1. Высокая - в случаях:

- обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, определенных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;

- обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также проведения иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона N 152-ФЗ;

- поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан РФ;

- сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

2. Средняя - в случаях:

- распространения персональных данных на официальном сайте оператора в информационно-телекоммуникационной сети Интернет, а равно предоставления персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки персональных данных;

- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

- продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

- получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети Интернет функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;

- ведения деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

3. Низкая - в случаях:

- ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона N 152-ФЗ;

- назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

Результаты оценки вреда оформляются актом оценки вреда, который содержит:

- наименование или фамилию, имя, отчество (при наличии) и адрес оператора;

- дату издания акта оценки вреда;

- дату проведения оценки вреда;

- фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

- степень вреда, который может быть причинен субъекту персональных данных.

Акт оценки вреда в электронной форме, подписанный электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.

Если по итогам проведенной оценки вреда установят разные степени вреда, применению подлежит более высокая степень вреда.

Мониторинг изменений законодательства, нормативно-правовых и иных актов в сфере обработки и защиты ПДн, в том числе рекомендаций уполномоченного органа по защите прав субъектов ПДн, ознакомление со значимыми изменениями и указанными рекомендациями всех работников, непосредственно осуществляющих обработку ПДн, и приведение в соответствие с ними внутренних документов (в том числе регламентов, инструкций и т.д.);

Контроль выполнения подразделениями, должностными лицами и работниками требований законодательства, нормативно-правовых актов, настоящей политики и иных внутренних документов в области обработки и защиты ПДн, контроль соответствия обработки и защиты ПДн указанным требованиям;

Содержание штата специалистов по защите информации, организация системы их профессиональной подготовки;

Организация и реализация системы ограничения (разграничения) доступа пользователей (обслуживающего персонала) к документам, информационным ресурсам и машинным носителям информации, информационным системам и связанным с их использованием работам,

Систематический анализ (мониторинг) безопасности ПДн, регулярные проверки и совершенствование системы их защиты.

7.3. Правовые меры обеспечения безопасности:

- обязательство работника, закрепленное в трудовом договоре, заключенном между работодателем и работником, о неразглашении конфиденциальной информации;

- обязанность работников, закрепленная во внутренних документах организации, выполнять требования по соблюдению конфиденциальности и защиты ПДн работников и иных лиц, ставших известными работнику в рамках исполнения им своих должностных обязанностей;

- обязательное включение в заключаемые ЗАО «ТиК ПРОДУКТЫ» с взаимодействующими организациями и физическими лицами соглашения о передаче ПДн требований соблюдения конфиденциальности (включая обязательство неразглашения) и обеспечения безопасности ПДн при их обработке.

7.4. В случае если обработка персональных данных осуществляется оператором без использования средств автоматизации, подтверждающим документом является акт об уничтожении персональных данных.

В случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации, подтверждающими документами являются акт и выгрузка из журнала регистрации событий в информационной системе персональных данных.

Акт в электронной форме признается электронным документом, равнозначным акту на бумажном носителе.

В случае если обработка персональных данных осуществляется оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, подтверждающими документами являются акт и выгрузка из журнала.

Акт и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

8. Заключительные положения

ЗАО «ТиК ПРОДУКТЫ» назначает ответственное лицо за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, осуществляет управление и методологическое сопровождение обработки персональных данных, включая внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, доводит до сведения работников положения законодательства Российской Федерации о персональных данных и внутренних документов общества по вопросам обработки персональных данных, осуществляет контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

Ответственность за обработку и обеспечение выполнения необходимых мероприятий по организации режима конфиденциальности персональных данных в структурных подразделениях возлагается на руководителей структурных подразделений.

Ответственность работников, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, включая разглашение или утрату персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества персонально для каждого работника, имеющего доступ к персональным данным и допустившего такое нарушение. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

Корзина