Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27.07.2006 (далее – Федеральный закон) и определяет позицию ООО «ЦКТВ» (далее – Общество) в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод каждого человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан, Компания обеспечивает защиту ПДн.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью "ЦКТВ»" (далее – Общество)
1.4. Политика распространяется на ПДн, полученные как до, так и после ввода в действие Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Общества.
2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным – возможность получения персональных данных и их использования.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения Обществом или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
Несанкционированный доступ – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных».
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Обозначения и сокращения
Политика – Политика в отношении обработки персональных данных ООО «ЦКТВ»,
ИСПДн – Информационная система персональных данных,
Общество – ООО «ЦКТВ»,
ПДн – Персональные данные,
Федеральный закон – Федеральный закон от 27.07.2006 № 152-ФЗ
4. Правовые основания и цели обработки персональных данных
4.1. Обработка и обеспечение безопасности ПДн в Обществе осуществляется в соответствии с требованиями Конституции РФ, Федерального закона, Трудового кодекса РФ, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов РФ, руководящих и методических документов ФСТЭК России и ФСБ России.
4.2. Субъектами ПДн, чьи данные обрабатываются в Обществе, являются:
-кандидаты для приема на работу в Общество (соискатели);
-работники Общества;
-уволенные работники Общества;
-родственники работников Общества;
-клиенты – физические лица, связанные с Обществом договорными отношениями, приобретающие услуги Общества, а также представители указанных физических лиц;
-победители конкурсов и акций – физические лица, одержавшие победу в конкурсах или акциях, проводимых Обществом;
-пользователи сайта Общества – физические лица, посещающие сайт Общества в сети Интернет.
4.3. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения приведены в приложении к Политике (см. Приложение).
5. Принципы и условия обработки ПДн
5.1. При обработке ПДн Общество придерживается следующих принципов: - определение конкретных законных целей до начала обработки (в т.ч. сбора) ПДн; - ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
-ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, а также для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
-объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
-обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
-при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
-обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
5.2. Общество не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
5.3. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
5.4. Обработка ПДн, разрешенных субъектом ПДн для распространения, может осуществляться Обществом только при наличии согласия субъекта ПДн.
5.5. В случаях, установленных законодательством РФ, Общество вправе осуществлять передачу ПДн третьим лицам (Федеральной налоговой службе и иным государственным органам) без согласия субъекта ПДн.
5.6. Общество вправе поручить обработку ПДн субъектов ПДн третьим лицам с согласия субъекта ПДн.
5.7. Лица, осуществляющие обработку ПДн на основании заключаемого с Обществом договора (поручения оператора), обязуются соблюдать требования, предусмотренные Федеральным законом.
5.8. В случае если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед субъектом ПДн в случаях, установленных законодательством.
5.9. Общество не осуществляет трансграничную передачу персональных данных.
5.10. В целях исполнения требований действующего законодательства РФ и своих договорных обязательств обработка ПДн в Обществе осуществляется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение ПДн.
5.11. В Обществе используются следующие информационные системы:
• система электронного документооборота;
• ERP система на базе 1С;
• корпоративный сайт;
• Автоматизированная система расчетов Атирра;
• Автоматизированная система расчетов NetUP Billing.
6. Права и обязанности субъектов ПДн, а также Общества в части обработки ПДн
6.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
6.2. Обработка ПДн в целях продвижения работ, услуг на рынке путем осуществления прямых контактов с потенциальным клиентом с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.
6.3. За исключением случаев, предусмотренных Федеральным законом, Общество обязано немедленно прекратить обработку ПДн по письменному требованию или требованию в иной форме, предусмотренной в согласии, субъекта ПДн. Требование должно содержать данные позволяющие идентифицировать субъекта ПДн.
6.4. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ оператора в установлении субъектом ПДн запретов и условий не допускается.
6.5. Субъект ПДн, ПДн которого обрабатываются Обществом, имеет право:
-получать от Общества информацию, касающуюся обработки его ПДн в объеме, установленном Федеральным законом;
-требовать от Общества (путем направления письменного запроса) уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-требовать от Общества информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления ПДн;
-отозвать свое согласие на обработку ПДн в любой момент;
-требовать прекращения обработки его ПДн;
-требовать устранения неправомерных действий Общества в отношении его ПДн;
-обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
-на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
6.6. Общество в процессе обработки ПДн обязана:
-до начала обработки ПДн уведомить Роскомнадзор о намерении осуществлять обработку ПДн,
- организовать обработку ПДн в соответствии с требованиями Закона о персональных данных,
-предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение 10 рабочих дней с даты получения запроса субъекта ПДн или его представителя. В случае наличия мотивированных оснований указанный срок может быть продлен, но не более чем на 5 рабочих дней, в таком случае Общество обязано направить в адрес субъекта ПДн уведомление с указанием причин продления срока предоставления запрашиваемой информации;
-разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с законодательством РФ;
-принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
-опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
-безвозмездно предоставить субъектам ПДн и/или их представителям возможность ознакомления с ПДн при обращении с соответствующим запросом в течение 10 рабочих дней с даты получения подобного запроса. В случае наличия мотивированных оснований указанный срок может быть продлен, но не более чем на 5 рабочих дней, в таком случае Общество обязано направить в адрес субъекта ПДн уведомление с указанием причин продления срока предоставления запрашиваемой информации;
-предоставить субъекту ПДн по его требованию, предъявляемому в письменной форме (в том числе в форме электронного документа), информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления ПДн, в течение 7 календарных дней со дня предъявления требования в форме, в которой предъявлено соответствующее требование, если иное не указано в требовании;
-предоставить субъекту ПДн по его требованию, предъявляемому в устной форме, информацию о конкретных причинах и правовых основаниях, определяющих невозможность заключения, исполнения, изменения или расторжения договора без предоставления ПДн, незамедлительно;
-осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн;
-уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
-прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней с даты этого выявления;
-прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Обществом) по достижении цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
-прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты поступления отзыва субъекта ПДн согласия на обработку ПДн, в случае отзыва субъектом ПДн согласия на обработку ПДн, если Общество не вправе продолжить обработку ПДн без согласия субъекта ПДн;
-прекратить обработку ПДн или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), в случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн, в течение 10 рабочих дней с даты получения оператором соответствующего требования, если иное не предусмотрено законодательством РФ. В случае наличия мотивированных оснований указанный срок может быть продлен, но не более чем на 5 рабочих дней, в таком случае Общество обязано направить в адрес субъекта ПДн уведомление с указанием причин продления срока предоставления запрашиваемой информации,
-осуществлять учет обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;
-обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения;
-осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона;
-в любое время по требованию субъекта ПДн прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения;
-при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
7. Меры по обеспечению безопасности ПДн при их обработке
7.1. Общество при обработке ПДн принимает необходимые правовые организационные и технические меры для защиты ПДн от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
7.2. К таким мерам в соответствии с Федеральным законом, в частности, относятся:
-назначение лица, ответственного за организацию обработки ПДн;
-ограничение состава лиц, имеющих доступ к ПДн;
-разработка и утверждение локальных нормативных актов по вопросам обработки и защиты ПДн;
-применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
- определение угроз безопасности ПДн при их обработке в информационных системах ПДн (далее – ИСПДн);
- применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
-применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
-учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
-обнаружение фактов несанкционированного доступа к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
-восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
-контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;
-оценка вреда, в соответствии с требованиями установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения требований Федерального закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
-соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
-проведение внутреннего аудита;
-ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными нормативными актами по вопросам обработки и защиты ПДн, и обучение работников Общества.
8. Порядок уничтожения ПДн
8.1. ПДн субъектов ПДн, обрабатываемые в целях, указанных в приложении к Политике (см. Приложение 1), подлежат уничтожению, если иное не предусмотрено законодательством РФ или соглашением между Обществом и субъектом ПДн, или договором между Обществом и операторами ПДн, в следующих случаях:
-выявления неправомерной обработки ПДн и невозможности устранения допущенных нарушений;
-по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются не полными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-отзыва субъектом ПДн согласия на обработку своих ПДн;
-по достижении целей обработки или в случае утраты необходимости в их достижении.
8.2. Уничтожение ПДн определенного субъекта ПДн выполняется в рамках реагирования на обращения субъектов ПДн.
8.3. Уничтожение ПДн в случае окончания сроков хранения ПДн (по достижении целей обработки или в случае утраты необходимости в их достижении) осуществляется в срок не позднее 30 календарных дней с момента истечения срока хранения ПДн.
8.4. ПДн должны быть уничтожены на всех материальных носителях и в ИСПДн.
8.5. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя Общества.
8.5.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.5.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.5.3. Комиссия подтверждает уничтожение персональных данных, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронной подписью.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом руководителя Общества.
8.5.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает ответственному за организацию обработки ПД для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9. Порядок получения разъяснений по вопросам обработки ПДн
9.1. Лица, чьи ПДн обрабатываются Обществом, могут получить разъяснения по вопросам обработки своих ПДн, обратившись в Общество следующими способами:
-личное обращение;
-с использованием Почты России (направить запрос по адресу местонахождения Общества: 612960 г. Вятские Поляны, ул. Азина, д. 47, офис 212)
-с использованием почтовой системы в виде электронного письма (направить запрос по адресу электронной почты: molot.ktv@bk.ru).
9.2. В случае направления официального запроса в Общество в тексте запроса необходимо указать:
-фамилию, имя, отчество субъекта ПДн или его представителя;
-номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
-сведения, подтверждающие наличие у субъекта ПДн отношений с Обществом;
-информацию для обратной связи с целью направления Обществом ответа на запрос;
-подпись субъекта ПДн (или его представителя).
Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
10. Заключительные положения
10.1. Политика является локальным нормативным актом Общества. Политика является общедоступной. Общедоступность Политики обеспечивается публикацией на сайте Общества.
10.2. Иные права и обязанности Общества как оператора ПДн определяются законодательством РФ в области ПДн.
11. Ответственность и обязанности
11.1. В случае неисполнения положений Политики Общество и ее работники несут ответственность в соответствии с действующим законодательством РФ.
11.2. Контроль исполнения требований Политики осуществляется ответственным за обработку ПДн в Обществе.
12. Актуализация Политики
12.1. Политика должна пересматриваться на регулярной основе при наступлении любого из следующих случаев:
-по решению руководства Общества;
-при изменении законодательства РФ в области обработки и защиты ПДн;
-в случаях получения предписаний от уполномоченного органа по защите прав субъектов ПДн на устранение несоответствий, затрагивающих область действия Политики;
-при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Общества.
12.2. Инициировать внеочередной пересмотр, дополнение и изменение Политики может руководство Общества.
Телеканал ВП-ТВ