ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Термины и определения
1.1. Для целей настоящей Политики используются следующие термины и определения:
Закон о персональных данных – Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" со всеми изменениями и дополнениями;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных;
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
работник – физическое лицо, состоящее в трудовых отношениях с Обществом;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под сайтом в настоящей Политике понимается официальный сайт Акционерного общества «Карусель» в сети «Интернет» (https://www.karusel-tv.ru/).
2. Общие положения
2.1. Настоящая Политика Акционерного общества «Карусель» (далее - Общество) в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Закона о персональных данных в целях обеспечения защиты прав и свобод субъекта при обработке его персональных данных с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
2.2. Политика действует в отношении всех персональных данных, обрабатываемых в Обществе. Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
2.3. Политика в Обществе определяет основные принципы, цели, категории, перечень субъектов персональных данных и обрабатываемые персональные данные субъектов, способы обработки персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
2.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
2.5. Во исполнение требований Закона о персональных данных к настоящей Политике обеспечен неограниченный доступ: настоящая Политика доступна для ознакомления путем размещения текста Политики на Сайте. Печатный экземпляр Политики предоставляется любому обратившемуся лицу без ограничений.
3. Правовые основания и принципы обработки персональных данных
3.1. Общество обрабатывает персональные данные на основании:
• Конституции Российской Федерации;
• Трудового кодекса Российской Федерации;
• Гражданского кодекса Российской Федерации;
• Налогового кодекса Российской Федерации;
• Гражданского процессуального кодекса Российской Федерации;
• Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее также – 152-ФЗ, ФЗ «О персональных данных»);
• Федерального закона Российской Федерации от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
• Федерального закона Российской Федерации от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
• Федерального закона Российской Федерации от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федерального закона Российской Федерации от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федерального закона Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
• Федерального закона Российской Федерации от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федерального закона Российской Федерации от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
• Постановления Правительства РФ от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановления Правительства РФ от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановления Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Приказа ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти в соответствии с действующими нормами законодательства в области персональных данных;
• Устава Общества;
• трудовых договоров, а также иных сделок, заключенных Обществом с физическими и (или) юридическими лицами;
• согласия субъектов на обработку их персональных данных.
3.2. При обработке персональных данных Общество руководствуется следующими принципами, установленными Законом о персональных данных:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или до отзыва субъектом персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Права и обязанности субъекта персональных данных и Общества
4.1. Субъект персональных данных имеет право:
1) отзывать согласие на обработку своих персональных данных;
2) вносить, дополнять или изменять обрабатываемые персональные данные;
3) требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Обществом способы обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом о персональных данных;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Закона о персональных данных;
• иные сведения, предусмотренные Закона о персональных данных или другими федеральными законами.
5) Субъект персональных данных может направить в Общество отзыв согласия на обработку персональных данных с темой письма «Отзыв согласия на обработку персональных данных» на адрес электронной почты: info@karusel-tv.ru или на адрес: 127427, г. Москва, Академика Королева, д. 19, пом. 5045.
При личном визите в Общество субъекта персональных данных или его представителя, при отсутствии у субъекта персональных данных заполненного обращения, форма обращения выдается субъекту ПДн или его представителю уполномоченным работником Общества и заполняется субъектом ПДн или его представителем с проставлением собственноручной подписи в присутствии указанного работника.
6) Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
7) Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.2. Общество обязано:
1) при сборе персональных данных предоставить субъекту персональных данных по его запросу информацию об обработке персональных данных, предусмотренную подп. 4 п.4.1. настоящей Политики, либо на законных основаниях предоставить письменный мотивированный отказ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных;
2) предоставить субъекту персональных данных информацию, перечисленную в части 3 статьи 18 Закона о персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
-- субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом;
-- персональные данные получены Обществом в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или на основании федерального закона;
-- обрабатываются персональные данные, разрешенные субъектом персональных данных для распространения, с соблюдением запретов и условий, установленных ФЗ «О персональных данных»;
-- Общество осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-- предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц;
3) при отказе в предоставлении персональных данных разъяснить субъекту последствия такого отказа;
4) опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике;
5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6) по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения. В срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
7) вести Журнал учета обращений субъектов персональных данных, в котором фиксируются запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
8) в случае достижения цели обработки персональных данных прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожить соответствующие персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами;
9) в случае отзыва субъектом персональных данных согласия на обработку своих Персональных данных прекратить обработку персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных;
10) в случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество обязано в срок, не превышающий 10 (Десяти) рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11) в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Закона о персональных данных, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.
12) в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
– в течение 24 (Двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
– в течение 72 (Семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
13) исполнять иные обязанности, предусмотренные законодательством Российской Федерации.
5. Цели обработки персональных данных
5.1. Общество, являясь оператором персональных данных, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
5.2. Обработка персональных данных субъектов персональных данных осуществляется в Обществе в следующих целях:
1) ведение кадрового и бухгалтерского учета;
2) обеспечение соблюдения трудового законодательства РФ;
3) обеспечение соблюдения законодательства РФ об обороне;
4) обеспечение соблюдения налогового законодательства РФ;
5) обеспечение соблюдения пенсионного законодательства РФ;
6) добровольное медицинское страхование;
7) подбор персонала (соискателей) на вакантные должности Общества;
8) подготовка, заключение и исполнение гражданско-правовых договоров;
9) обеспечение пропускного режима на территорию Общества;
10) корпоративное управление в Обществе;
11) противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
12) предоставление пользователям возможности использования полного функционала Сайта (регистрация пользователей в личном кабинете на Сайте);
13) проведение игр, конкурсов, розыгрышей и иных подобных мероприятий с участием физических лиц (телезрителей/пользователей Сайта), в том числе предоставление призов победителям;
14) сбор веб-аналитики Сайта, создание статистической отчетности, улучшение взаимодействия пользователей с Сайтом;
15) продвижение товаров, работ, услуг на рынке.
6. Перечень субъектов, персональные данные которых обрабатываются Обществом
6.1. В Обществе обрабатываются персональные данные следующих категорий субъектов:
• работники Общества;
• бывшие работники Общества;
• контрагенты Общества или представители контрагентов Общества;
• соискатели должности в Обществе;
• родственники работников и бывших работников Общества;
• кандидаты в члены органов управления Общества / члены органов управления Общества (Единоличный исполнительный орган, Правление, Наблюдательный совет);
• родственники кандидатов в члены органов управления Общества / членов органов управления Общества (Единоличный исполнительный орган, Правление, Наблюдательный совет);
• кандидаты в члены контрольно-ревизионных органов Общества / члены контрольно-ревизионных органов Общества (ревизионная комиссия).
• бенефициарные владельцы Общества;
• физические лица, обратившиеся в Общество с запросом, заявлением, претензией и пр.;
• посетители, допускаемые на территорию, занимаемую Обществом;
• физические лица (несовершеннолетние и их законные представители) – пользователи Сайта, зарегистрировавшие в личном кабинете пользователя, в том числе принимающие участие в проводимых Обществом конкурсах, играх, розыгрышах и иных подобных мероприятиях.
7. Состав обрабатываемых персональных данных и способы их обработки
7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.2. Общество может обрабатывать следующие персональные данные следующих категорий субъектов персональных данных:
7.2.1. Для цели ведения кадрового и бухгалтерского учета:
– категории субъектов персональных данных: работники Общества, родственники работников; уволенные работники Общества, родственники уволенных работников, контрагенты; представители контрагентов;
– персональные данные:
а) работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании;
б) Родственники Работников: фамилия, имя, отчество; год рождения; степень родства; иные персональные данные, сообщаемые в соответствии с требованиями законодательства;
в) Родственники уволенных Работников: фамилия, имя, отчество; год рождения; степень родства; иные персональные данные, сообщаемые в соответствии с требованиями законодательства;
г) Контрагенты: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета;
д) Представители контрагентов: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность.
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.2. Для цели обеспечения соблюдения трудового законодательства РФ:
– категории субъектов персональных данных: работники Общества, уволенные работники Общества;
– персональные данные:
а) работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании (в том числе о документах об образовании, квалификации), сведения о дополнительном образовании;
б) уволенные работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами РФ; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании (в том числе о документах об образовании, квалификации), сведения о дополнительном образовании;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.3. Для цели обеспечения соблюдения законодательства РФ об обороне:
– категории субъектов персональных данных: работники Общества, уволенные работники Общества;
– персональные данные:
а) работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; владение иностранными языками, военно-учетная специальность, звание, состав семьи, иные сведения, содержащиеся в документах воинского учета;
б) уволенные работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; владение иностранными языками, военно-учетная специальность, звание, состав семьи, иные сведения, содержащиеся в документах воинского учета;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.4. Для цели обеспечения соблюдения налогового законодательства РФ:
– категории субъектов персональных данных: работники Общества; контрагенты Общества, представители контрагентов Общества, физические лица – законные представители победителей организованных Обществом игр, конкурсов, розыгрышей и иных подобных мероприятий;
– персональные данные:
а) работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность;
б) контрагенты Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность;
в) представители контрагентов Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность;
г) физические лица – законные представители победителей организованных Обществом игр, конкурсов, розыгрышей и иных подобных мероприятий: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.5. Для цели обеспечения соблюдения пенсионного законодательства РФ, законодательства РФ в области обязательного социального страхования РФ:
– категории субъектов персональных данных: Работники Общества, контрагенты Общества – физические лица;
а) Работники Общества: персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; доходы; пол; адрес места жительства; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
б) контрагенты Общества – физические лица: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.6. Для цели добровольного медицинского страхования:
– категории субъектов персональных данных: Работники Общества, родственники работников Общества; уволенные работники Общества, родственники уволенных работников Общества;
– персональные данные:
а) Работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; должность;
б) уволенные работники Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; должность;
в) Родственники Работников: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность;
г) Родственники уволенных Работников: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.7. Для цели подбора персонала (соискателей) на вакантные должности Общества:
– категории субъектов персональных данных: соискатели вакантных должностей в Обществе;
– персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; профессия; сведения о трудовой деятельности (в том числе опыт работы, стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании (в том числе о документах об образовании, квалификации), сведения о дополнительном образовании, опыте работы, квалификации; принадлежность к государственной или муниципальной службе; семейное положение; сведения о заболеваниях, затрудняющих выполнение трудовой функции (в соответствии с требованиями законодательства); иные персональные данные, сообщаемые кандидатами в резюме и анкетах.
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.8. Для цели подготовки, заключения и исполнения гражданско-правовых договоров:
– категории субъектов персональных данных: контрагенты Общества, представители контрагентов Общества;
– персональные данные:
а) контрагенты Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; доходы; пол; адрес регистрации; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; иные персональные данные, необходимые для заключения и исполнения договоров;
б) представители контрагентов Общества: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес регистрации; гражданство; данные документа, удостоверяющего личность; иные персональные данные, необходимые для заключения и исполнения договоров;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.9. Для цели обеспечения пропускного режима на территорию Общества:
– категории субъектов персональных данных: посетители Общества;
– персональные данные: фамилия, имя, отчество; данные документа, удостоверяющего личность; иные персональные данные, необходимые в соответствии с требованиями законодательства РФ или владельцев помещений, занимаемых Обществом;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.10. Для цели корпоративного управления в Обществе:
– категории субъектов персональных данных: кандидаты в члены органов управления / члены органов управления Общества (Правление, Наблюдательный совет, Директор); родственники кандидатов в члены органов управления / членов органов управления Общества (Правление, Наблюдательный совет, Директор); кандидаты в члены контрольно-ревизионных органов Общества / члены контрольно-ревизионных органов Общества (ревизионная комиссия);
– персональные данные:
а) кандидаты в члены органов управления / члены органов управления Общества (Правление, Наблюдательный совет, Директор): фамилия, имя, отчество; дата рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные об образовании, специальности, квалификации; сведения о работе в других организациях; должность по месту работы в других организациях; сведения о членстве в органах управления и контроля других организаций; информация об аффилированных лицах; данные о подконтрольных юридических лицах; данные о наличии у кандидата в члены органов управления / члена органов управления Общества (Правление, Наблюдательный совет, Директор) родственников (супругов, родителей, детей, полнородных и неполнородных братьев и сестер, усыновителей и усыновленных) и о подконтрольных указанным родственникам организациях; сведения об ограничениях (запретах) в соответствии с правовыми актами и (или) решением суда на занятие должностей в органах управления коммерческих организаций и (или) на занятие определенной деятельностью; сведения о владении долей в уставном капитале Общества; принадлежность к государственной или муниципальной службе; семейное положение; иные персональные данные, необходимые в соответствии с требованиями законодательства РФ;
б) родственники кандидатов в члены органов управления / членов органов управления Общества (Правление, Совет Директоров, Генеральный директор): фамилия, имя, отчество; степень родства с кандидатом в члены органов управления / членом органов управления Общества (Правление, Наблюдательный совет, Директор); сведения о подконтрольных указанным родственникам организациях;
в) кандидаты в члены контрольно-ревизионных органов Общества / члены контрольно-ревизионных органов Общества (ревизионная комиссия): фамилия, имя, отчество; гражданство; пол; сведения о документе, удостоверяющем личность; адрес места жительства (регистрации); должность по основному месту работы; контактные данные (адрес электронной почты, почтовый адрес для направления корреспонденции, номер телефона); данные о юридических лицах, в которых кандидат в члены контрольно-ревизионных органов Общества / член контрольно-ревизионных органов Общества (ревизионная комиссия) занимает должности в органах управления;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.11. Для цели противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма:
– категории субъектов персональных данных: бенефициарные владельцы;
– персональные данные: фамилия, имя, отчество (если иное не вытекает из закона или национального обычая); гражданство; дата рождения; сведения о документе, удостоверяющем личность; данные документов, подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации (если наличие таких документов обязательно в соответствии с международными договорами Российской Федерации и законодательством Российской Федерации); адрес места жительства (регистрации) или места пребывания; ИНН (при его наличии);
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.12. Для цели предоставления пользователям возможности использования полного функционала Сайта (регистрации пользователей в личном кабинете на Сайте):
– категории субъектов персональных данных: физические лица – пользователи Сайта;
– персональные данные: никнейм (в случае его указания Пользователем); фамилия, имя, отчество (в случае их указания Пользователем); год рождения, месяц рождения, дата рождения (в случае их указания Пользователем); пол (в случае его указания Пользователем); адрес электронной почты, идентификатор в социальной сети (в случае авторизации Пользователя на Сайте через социальные сети);
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.13. Для цели предоставления проведения игр, конкурсов, розыгрышей и иных подобных мероприятий с участием физических лиц (телезрителей/пользователей Сайта), в том числе предоставления призов победителям:
– категории субъектов персональных данных:
а) физические лица – телезрители/пользователи Сайта - участники игр, конкурсов, розыгрышей и иных подобных мероприятий (далее – Участники);
– персональные данные: фамилия, имя, отчество Участника; город проживания Участника, возраст Участника, адрес электронной почты Законного представителя, фамилия, имя отчество Законного представителя, сведения о документе, удостоверяющем личность Законного представителя, телефон Законного представителя;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
б) физические лица – победители игр, конкурсов, розыгрышей и иных подобных мероприятий (далее – Участники):
– персональные данные: фамилия, имя, отчество Победителя; фамилия, имя, отчество Законного представителя Победителя; адрес места жительства Законного представителя Победителя, адрес электронной почты Законного представителя Победителя, телефон Законного представителя Победителя;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.2.14. сбор веб-аналитики Сайта, создание статистической отчетности, улучшение взаимодействия пользователей с Сайтом;
– категории субъектов персональных данных: физические лица – пользователи Сайта;
– персональные данные: сведения, собираемые посредством метрических программ (IP-адрес устройства пользователя, данные геолокации, информация о программе, с помощью которой осуществляется доступ к Сайту, дата и время доступа к Сайту, информация о действиях, выполненных пользователем при посещении Сайта);
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
Обработка персональных данных производится с использованием средств автоматизации с помощью метрических программ, используемых на Сайте. Для работы с такими данными Общество использует cookies.
Cookies - небольшие текстовые файлы, содержащие техническую и служебную информацию о посещении веб-страницы, которые загружаются на пользовательское устройство (ПК, смартфон и т.д.) во время ее просмотра. Общество использует cookies в целях распознавания пользовательских предпочтений, а также сбора статистики о том, как пользователи взаимодействуют с Сайтом, для улучшения опыта использования Сайта пользователями или для устранения различных ошибок (при их возникновении). Пользователи могут самостоятельно ограничить или полностью отключить установку cookies через настройки своего веб-браузера. Однако без использования cookies Сайт может работать некорректно, а часть их функционала может оказаться недоступна.
Общество, используя cookies, не преследует цели идентифицировать конкретного пользователя Сайта.0
7.2.15. Для цели продвижения товаров, работ, услуг на рынке:
– категории субъектов персональных данных: Работники Общества;
– персональные данные: фамилия, имя, отчество (если иное не вытекает из закона или национального обычая); должность в Обществе; информация о полученных наградах, званиях и т.д., участии в общественных, отраслевых организациях, жюри, попечительских советах и т.п.;
- перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Обработка персональных данных производится одновременно с использованием и без использования средств автоматизации.
7.3. В случаях, предусмотренных законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Обществу и дает конкретное, предметное, информированное, сознательное и однозначное согласие на их обработку свободно, своей волей и в своем интересе.
7.4. Общество обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
7.5. Обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Общество не осуществляет.
7.6. Обработку биометрических персональных данных по смыслу ст. 11 ФЗ «О персональных данных» Общество не осуществляет.
8. Порядок и условия обработки персональных данных
8.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
8.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
8.4. Получение и обработка персональных данных в Обществе организуется таким способом, чтобы не нарушить конфиденциальность собираемых персональных данных.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации и по адресу места нахождения Общества, за исключением случаев, указанных в Законе о персональных данных.
В случае недееспособности субъекта персональных данных письменное согласие на обработку его персональных данных получается от его законного представителя.
8.5. Персональные данные могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных и с соблюдением обязанности предоставить субъекту персональных данных информацию согласно условиям ч. 3 статьи 18 Закона о персональных данных.
8.6. Обработка персональных данных в Обществе может осуществляться как с использованием, так и без использования средств автоматизации.
8.6.1. Автоматизированная обработка персональных данных должна осуществляться в информационной системе персональных данных в соответствии с настоящей Политикой.
Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:
• Общество проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
• в Обществе применяются системы антивирусной защиты и межсетевые экраны;
• защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
• технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
• Общество производит резервное копирование данных, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним и осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
8.6.2. Неавтоматизированная обработка персональных данных осуществляется Обществом таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их как на отдельных материальных носителях персональных данных, так и иными способами.
Персональные данные должны обособляться от иной информации путем фиксации их на отдельных материальных носителях. При фиксации персональных данных на материальных носителях не допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
При работе с документами, содержащими персональные данные, работник Общества обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
При выносе документов, содержащих персональные данные, за пределы территории Общества по служебной необходимости работник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
8.7. Доступ к обрабатываемым в Обществе персональным данным разрешается только специально уполномоченным лицам Общества, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
8.8. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
8.9. При предоставлении персональных данных третьей стороне должны выполняться следующие условия:
• передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности персональных данных и безопасности персональных данных при их обработке;
• передача (предоставление доступа) персональных данных третьей стороне осуществляется на основании действующего законодательства Российской Федерации;
• наличие письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться Обществом в соответствии с положениями ст. 12 Закона о персональных данных.
9. Обеспечение безопасности персональных данных
9.1. Обеспечение безопасности персональных данных осуществляется в рамках установления в Обществе режима безопасности информации конфиденциального характера.
Обеспечение безопасности персональных данных, в частности, достигается:
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Уровни защищенности персональных данных при их обработке в информационных системах персональных данных Общества, требования к защите персональных данных, обеспечивающие уровни защищенности персональных данных, определяются в зависимости от актуальных угроз безопасности персональным данным с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные в соответствии с требованиями законодательства РФ.
Защита персональных данных при неавтоматизированной обработке осуществляется в соответствии с требованиями законодательства РФ.
9.2. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных, Постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам могут относиться:
• назначение в Обществе ответственного за организацию обработки персональных данных;
• издание Обществом документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества;
• определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом о персональных данных;
• ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
9.3. Общество сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
Общество прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.
10. Актуализация, исправление персональных данных, ответы на запросы субъектов на доступ к персональным данным
10.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Обществом, а обработка должна быть прекращена.
10.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
10.3. Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя.
10.4. Запрос может быть направлен:
1) в письменной форме по адресу места нахождения: 127427, г. Москва, Академика Королева, д. 19, пом. 5045;
2) в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос в форме электронного документа направляется с темой письма «Запрос информации об обработке персональных данных» на адрес электронной почты: info@karusel-tv.ru.
10.5. В случае, если информация, касающаяся обработки персональных данных субъекта, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.6. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в подпункте 4) пункта 4.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 10.5 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 10.3 настоящей Политики, должен содержать обоснование направления повторного запроса.
10.7. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5, 10.6 настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
11. Уничтожение и персональных данных
11.1. Основанием для уничтожения персональных данных, обрабатываемых в Обществе, является:
• достижение цели обработки персональных данных либо утрата необходимости в достижении цели обработки персональных данных;
• истечение срока действия согласия, отзыв субъектом персональных данных согласия на обработку его персональных данных, по требованию субъекта персональных данных, за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законом РФ или договором;
• выявление неправомерных действий с персональными данными и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
• истечение срока хранения персональных данных, установленного законодательством РФ, а также в иных случаях, установленных законодательством РФ.
11.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются за исключением случаев, предусмотренных Законом о персональных данных.
11.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
11.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
11.5. Персональные данные уничтожаются в течение 30 календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
11.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 календарных дней.
11.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 календарных дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
11.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляется ответственным за организацию обработки персональных данных либо комиссией, назначенной ответственным за организацию обработки персональных данных.
11.8. Уничтожение персональных данных осуществляется ответственным за организацию обработки персональных данных либо комиссией, назначенной ответственным за организацию обработки персональных данных
11.8.1. При принятии решения об уничтожении персональных данных составляется список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
11.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.8.3. Уничтожение персональных данных, указанных в пунктах 11.3 - 11.6. настоящей Политики, подтверждается согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
11.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных акты передаются для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
11.8.5. Уничтожение персональных данных, не указанных в пункте 11.7.3. настоящей Политики, подтверждается актом, который оформляется непосредственно после уничтожения таких данных.
12. Ответственность за нарушение законодательства о персональных данных
12.1. Общество и/или работники Общества, виновные в нарушении требований законодательства РФ в области персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
12.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
13. Заключительные положения
13.1. Настоящая Политика вступает в силу с момента ее утверждения органом управления, уполномоченным на его принятие в соответствии с Уставом Общества, и действует до его отмены соответствующим органом управления Общества, в т.ч. в связи с введением новой Политики обработки персональных данных в Обществе.
13.2. Внесение изменений в настоящую Политику осуществляется по решению органа управления, уполномоченного на такие действия в соответствии с Уставом Общества.
13.3. Во всем остальном, что не урегулировано настоящей Политикой, действуют нормы законодательства Российской Федерации.