г. Калининград, 03.12.2018 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В процессе ведения бизнеса Организация обрабатывает персональные данные. Осуществляя эту обработку, Организация обеспечивает конфиденциальность персональных данных и соблюдение прав субъектов персональных данных, в том числе их прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая политика устанавливает общие стандарты в отношении обработки персональных данных.
1.2. Настоящая политика применима ко всем случаям обработки персональных данных выполняемой Организацией или третьей стороной по поручению Организации. В отношении обработки персональных данных Организация руководствуется Федеральным Законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее - Закон).
1.3. Настоящая Политика является внутренним нормативным документом Организации и является обязательной для исполнения всеми работниками Организации.
1.4.Настоящая политика публикуется на сайте Организации в сети Интернет. Любой новый работник, во время первого вводного инструктажа, должен быть ознакомлен с настоящей Политикой.
1.5. В дополнение к настоящей Политике, Организация может выпустить дополнительные нормативные документы, регламентирующие защиту и порядок обработки персональных данных. Такие нормативные документы должны соответствовать требованиям настоящей Политики.
1.6.В случае если требования настоящей Политики являются более строгими по сравнению с требованиями закона – требования Политики имеют преимущество.
1.7. Настоящая политика не распространяется на обработку:
1.7.1. данных, не относящихся прямо или косвенно к определенному или определяемому физическому лицу (обезличенные данные);
1.7.2. данных, относящихся к юридическим лицам.
1.8. Настоящая политика утверждается генеральным директором Организации. Политика подлежит пересмотру по мере необходимости.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Если иное явно не указано в настоящей политике, то следующие термины используются в том значении, которое указано в данном разделе:
Организация — ООО «Робот ИКС»
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Политика — настоящая политика в отношении обработки персональных данных.
Обработка персональных данных — любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, (распространение, доступ, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.
Программа лояльности «Клуб Друзей» — комплекс взаимосвязанных действий и мероприятий, направленных на взаимодействие с клиентами Организации и Партнёров Программы лояльности «Клуб Друзей». Правила и термины Программы лояльности «Клуб Друзей» публикуются на её официальном сайте в сети «Интернет».
3. ОСНОВНЫЕ ПОЛОЖЕНИЯ
3.1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.1. ПРАВОМЕРНОСТЬ ОБРАБОТКИ
3.1.1.1. Организация проводит обработку персональных данных на законной и справедливой основе. При обработке персональных данных Организация обеспечивает точность персональных данных, их достаточность и актуальность по отношению к целям обработки.
3.1.1.2. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.1.1.2.1. физических лиц – клиентов (потенциальных клиентов, партнеров и контрагентов, потенциальных партнеров и контрагентов, подателей жалоб, заявлений и обращений, участников Программы лояльности «Клуб Друзей»), а также руководителей.
3.1.1.2.2. физических лиц – сотрудников Организации.
3.1.1.3. Организация проводит обработку персональных данных в следующих целях:
3.1.1.3.1. Осуществления возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О несостоятельности (банкротстве) кредитных организаций», «О персональных данных», выполнения требований иных Федеральных законов.
3.1.1.3.2. Осуществления прав и законных интересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.1.3.3. Поддержания отношений с клиентом.
3.1.1.3.4. Обеспечения безопасности операций, связанных с предоставлением поощрений в рамках Программы лояльности «Клуб Друзей», профилактики правонарушений в отношении Организации, его Клиентов и работников, повышения качества обслуживания Клиентов.
3.1.1.3.5. Администрирования ИТ-инфраструктуры.
3.1.1.3.6. Договорной деятельности с партнерами.
3.1.1.3.7. Обеспечения эксплуатации и реализации мероприятий Программы лояльности «Клуб Друзей».
3.1.1.3.8. Обработки обращений участников Программы лояльности «Клуб Друзей».
3.1.1.3.9. Предоставления доступа участников Программы лояльности «Клуб Друзей» к Личному кабинету, Мобильному приложению Программы лояльности «Клуб Друзей».
3.1.1.3.10. Предоставление/оформление Привилегий Программы лояльности «Клуб Друзей».
3.1.1.3.11. Обработка персональных данных Организации ограничивается достижением перечисленных в данном пункте целей, обработка персональных данных в иных целях не допускается.
3.1.1.4. Обработке подлежат персональные данные в объеме, соответствующем указанным выше целям обработки. Не подлежат сбору и обработке персональные данные несоответствующие характеру поставленных целей или избыточные по отношению к указанным выше целям обработки. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.1.5. Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.1.1.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться Организацией для установления личности субъекта персональных данных только при наличии его согласия в письменной форме.
3.1.1.7. До начала обработки, Организацией должны быть предприняты технические и организационные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения. Для обеспечения выполнения требований предусмотренных настоящей Политикой и законодательством в Организации назначается лицо, ответственное за организацию обработки персональных данных, введены в действие внутренние нормативные документы, устанавливающие процедуры обработки персональных данных, а также процедуры, направленные на предотвращение нарушений законодательства. Доступ к персональным данным будет предоставлен исключительно уполномоченным работникам, в тех случаях и тогда, когда это требуется для эффективного исполнения ими своих трудовых обязанностей. Работники, осуществляющие обработку персональных данных, обязаны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами, и соблюдать требования по обеспечению информационной безопасности. Работникам, осуществляющим обработку персональных данных, запрещено несанкционированное или нерегистрируемое копирование персональных данных, использование отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов).
3.1.1.8. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом и/или его участия в Программе лояльности «Клуб Друзей» персональных данных, сроками исковой давности, установленными законодательством сроками хранения документов, образующимися в процессе деятельности Организации, иными требованиями законодательства, а также сроком предоставленного субъектом согласия на обработку персональных данных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, должно осуществляться не дольше, чем этого требуют цели обработки. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Исключением являются случаи, когда срок хранения персональных данных установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.1.2. СОБЛЮДЕНИЕ ПРИНЦИПОВ ОТКРЫТОСТИ И ПРОЗРАЧНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.2.1. При сборе персональных данных Организация предоставит субъекту персональных данных по его просьбе информацию о целях и условиях обработки, а также иную информацию, касающуюся обработки его персональных данных, указанную в п. 3.3 настоящей Политики. В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, Организация разъяснит субъекту персональных данных юридические последствия отказа предоставить персональные данные.
3.1.2.2. При получении персональных данных не от субъекта персональных данных Организация, до начала их обработки, проинформирует об этом субъекта персональных данных и сообщит ему:
– наименование и адрес Организации;
– цель обработки персональных данных и ее правовое основание;
– источник получения персональных данных;
– информацию о предполагаемых пользователях персональных данных;
– установленные законом права субъекта персональных данных.
Исключением из этого правила являются случаи, когда:
– Субъект персональных данных уже проинформирован о том факте, что Организация осуществляет обработку его персональных данных;
– Персональные данные сделаны общедоступными субъектом персональных данных
или получены из общедоступного источника;
– Предоставление вышеупомянутых сведений субъекту персональных данных нарушает права и законные интересы третьих лиц.
3.1.2.3. В тех случаях, когда Организация осуществляет сбор персональных данных через веб-сайт в сети Интернет, то информация об Организации, о целях и условиях обработки персональных данных, а также настоящая Политика будут размещены на том же веб-сайте.
3.1.3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.3.1. Обработка персональных данных Организацией осуществляется только в следующем случая
– у Организации имеется явное и недвусмысленное согласие субъекта персональных данных на такую обработку.
3.1.4. УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЧАЕ ОТЗЫВА СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ СОГЛАСИЯ НА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.4.1. Персональные данные должны быть удалены или обезличены:
– в случае отзыва субъектом персональных данных согласия на обработку его персональных данных при отсутствии у Организации оснований продолжить такую обработку без согласия субъекта;
– в случае выявления неправомерной обработки персональных данных.
3.1.4.2. Персональные данные не должны быть удалены:
– в случае если персональные данные необходимо сохранить для выполнения требований законодательства Российской Федерации;
– в случае если персональные данные необходимо сохранить для защиты законных интересов Организации при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.1.5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМИ ЛИЦАМИ ПО ПОРУЧЕНИЮ ОРГАНИЗАЦИИ
3.1.5.1. Организация будет поручать обработку персональных данных третьим лицам только в случае оправданной необходимости.
3.1.5.2. Организация предпримет все необходимые меры для обеспечения того, чтобы привлеченные к обработке персональных данных третьи лица действовали в соответствии с настоящей Политикой. Организация прекратит отношения с третьим лицом в случае:
– систематического нарушения третьим лицом требований настоящей Политики
– грубого непреднамеренного нарушения третьим лицом требований настоящей Политики.
3.1.5.3. В случае если Организация получает персональные данные от третьих лиц, то прежде чем
приступить к их обработке, Организация удостоверится, что третье лицо имеет право передавать эти персональные данные Организации, а субъекты персональных данных уведомлены надлежащим образом о том, что их персональные данные будут переданы Организации.
3.1.6. ОБРАБОТКА АУДИО- И ВИДЕОЗАПИСЕЙ
3.1.6.1. Осуществление аудио- и видеозаписей будет производиться только при наличии обоснованной необходимости и только в целях, заявленных в данном разделе.
3.1.6.2. Организация будет осуществлять запись телефонных разговоров только при условии соблюдения требований законодательства и только в следующих целях:
– для обеспечения доказательства совершения юридически значимых действий;
Организация в обязательном порядке будет информировать респондентов об осуществлении записи телефонного разговора.
3.1.6.3. Организация будет осуществлять видеозапись и видеонаблюдение только при условии
соблюдения требований законодательства и только в следующих целях:
– для обеспечения безопасности помещений, оборудования и иных материальных
ценностей;
– для защиты интересов Организации и обеспечения безопасности персонала, Клиентов и
других физических лиц;
– для мониторинга, предотвращения и проведения разбирательства в случае нарушения правил внутреннего распорядка;
– для предоставления доказательств в случае судебного разбирательства.
Организация в обязательном порядке будет информировать физических лиц об осуществлении видеонаблюдения или видеозаписи
3.2. ОБЕСПЕЧЕНИЕ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА
3.2.1. СОГЛАСОВАНИЕ ПРОЦЕДУР ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.2.1.1. Обработка персональных данных Организацией осуществляться в соответствии с требованиями настоящей Политики и действующего законодательства. Контроль за обеспечением такого соответствия осуществляется лицом, ответственным за организацию обработки персональных данных.
3.2.1.2. Лицо, ответственное за организацию обработки персональных данных в Организации, в обязательном порядке регистрирует все запросы, на согласование процедур обработки персональных данных, а также ответы на эти запросы (одобрения или возражения) и иную информацию, относящуюся к данной теме.
3.2.1.3. Предоставление персональных данных, обрабатываемых Организацией, по запросу третьих лиц, в том числе по запросу правоохранительных и судебных органов, контролируется
лицом, ответственным за организацию обработки персональных данных в Организации.
3.3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.1. Субъект персональных данных имеет право:
– на получение сведений о наименовании и месте нахождения Организации;
– получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
– подтверждение факта обработки персональных данных Организацией, а также правовые основания и цели такой обработки;
– способы обработки персональных данных, применяемые Организацией;
– сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
– обрабатываемые персональные данные и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– требовать от Организации уточнения своих персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются:
– неполными, устаревшими, неточными;
– незаконно полученными;
– не являются необходимыми для заявленной цели обработки.
– принимать предусмотренные законом меры по защите своих прав;
3.3.2. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.2.1. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
3.3.2.2. Организация сообщит субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставит возможность ознакомления с этими данными при обращении субъекта или его законного представителя в течение 30 (тридцати) дней с даты получения запроса.
3.3.2.3. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случаях, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма или если предоставление персональных данных нарушает права и законные интересы третьих лиц. В случае отказа в предоставлении информации субъекту персональных данных или его законному представителю Организация направит ему в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона, являющееся основанием для такого отказа. Ответ будет направлен в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.3.3. ТРЕБОВАНИЕ О ПРЕКРАЩЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.3.3.1. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Организация внесет в них соответствующие изменения.
3.3.3.2. В срок, не превышающий 7 (семи) рабочих дней со дня представления сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация уничтожит такие персональные данные.
3.3.3.3. Организация уведомит субъекта персональных данных о внесенных изменениях и предпринятых мерах и примет меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.3.4. ОБРАБОТКА ЗАПРОСОВ И ТРЕБОВАНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка обращений и запросов, касающихся защиты прав субъектов персональных данных, осуществляется в Организации под контролем лица, ответственного за организацию обработки персональных данных
4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
4.1. Контроль за соблюдением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Организации.
4.2. Руководство Организации предпримет все необходимые меры, чтобы работники Организации действовали в соответствии настоящей Политикой.
ПРИЛОЖЕНИЕ № 1. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ.
1. Для достижения целей, определенных в настоящей Политике, в ООО «Робот Икс» может обрабатываться следующий перечень персональных данных:
1.1. Персональные данные участников Программы лояльности «Клуб Друзей»:
1.1.1. Фамилия, имя, отчество.
1.1.2. Дата рождения.
1.1.3. Пол
1.1.4. Номера телефонов (мобильного и/или домашнего).
1.1.5. Адрес электронной почты.
1.1.6. Семейное положение.
1.1.7. Наличие детей.
1.1.8. Адрес места жительства.
1.2. Персональные данные сотрудников Организации:
1.2.1. Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.
1.2.2. Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения.
1.2.3. Адрес электронной почты.
1.2.4. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.
1.2.5. Номера телефонов (мобильного и домашнего).
1.2.6. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, в том числе наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).
1.2.7. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).
1.2.8. Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, организации и ее наименования, ИНН, адреса и телефонов, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).
1.2.9. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.
1.2.10. Содержание и реквизиты трудового договора с работником или гражданско-правового договора с гражданином.
1.2.11. Сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их спецкартсчетов, данные по окладу, надбавкам, налогам и другие сведения).
1.2.12. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения).
1.2.13. Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные брачного контракта, данные справки по форме 2НДФЛ супруга(и), данные документов по долговым обязательствам, степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).
1.2.14. Сведения о страховом номере индивидуального лицевого счета гражданина в системе обязательного пенсионного страхования (СНИЛС).
1.2.15. Сведения об идентификационном номере налогоплательщика (ИНН).
1.2.16. Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).
1.2.17. Сведения, указанные в оригиналах и копиях приказов по личному составу и материалах к ним.
1.2.18. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников.
1.2.19. Материалы по аттестации и оценке работников.
1.2.20. Материа�