ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «КОНТУР»
(ООО «Контур»)
Редакция №1.0
Дата 16 ноября 2018 г.
Термины, определения
В Политике используются следующие термины и определения:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – ООО «Контур», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Назначение Политики
2.1.1. Политика в отношении обработки персональных данных в ООО «Контур» (далее - Политика) является основополагающим документом, определяющим общие принципы, цели, способы, объем и порядок обработки персональных данных в ООО «Контур» (далее- Оператор), а также меры по обеспечению безопасности при их обработке.
2.1.2. Политика разработана в соответствии с требованиями Федерального закона и принятых в соответствии с ним нормативных правовых актов и предназначена для публикации на веб-сайте Оператора в целях ознакомления с ней неограниченного круга лиц.
2.1.3. Политика утверждается приказом Оператора.
2.1.4. Политика действует бессрочно после утверждения и до ее замены новой версией.
2.1.5. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится Оператором в одностороннем порядке.
2.1.6. Все изменения (дополнения), вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на веб-сайте Оператора по адресу: http://festapizza.ru в нижней части сайта, а также мобильное приложение FESTA (вне зависимости от платформы) в течение 1 рабочего дня.
2.1.7. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка Персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
2.1.8. Положения Политики распространяются на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Оператора, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки Персональных данных Оператором, а также в случаях передачи им в установленном порядке Персональных данных на основании соглашений, договоров, поручений на обработку.
2.2. Права и обязанности Оператора и Субъекта
2.2.1. При обработке Персональных данных Оператор обязан:
2.2.1.1. Предоставить Субъекту по его просьбе следующую информацию:
- подтверждение факта обработки Персональных данных Оператором;
- правовые основания и цели обработки Персональных данных;
- применяемые Оператором способы обработки Персональных данных;
- наименование и местонахождение Оператора;
- сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании Федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки Персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом прав, предусмотренных Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче Персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
2.2.1.2. Разъяснить Субъекту юридические последствия отказа предоставить его Персональные данные, если предоставление Персональных данных является обязательным в соответствии с Федеральным законом.
2.2.1.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
2.2.1.4. Предоставить Субъекту (если Персональные данные получены не от Субъекта, до начала обработки таких Персональных данных) следующую информацию (за исключением случаев, предусмотренных п. 2.2.1.5 Политики):
- наименование и адрес Оператора или его представителя;
- цель обработки Персональных данных и ее правовое основание;
- предполагаемых пользователей Информационной Системы Персональных данных;
- установленные Федеральным законом права Субъекта;
- источник получения Персональных данных.
2.2.1.5. Оператор освобождается от обязанности предоставить Субъекту сведения, предусмотренные п. 2.2.1.4 Политики, в случаях если:
- Субъект уведомлен об осуществлении обработки его Персональных данных соответствующим Оператором;
- Персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;
- Персональные данные сделаны общедоступными Субъектом или получены из общедоступного источника.
2.2.2. Субъект имеет право на:
2.2.2.1. Получение информации, касающейся обработки его Персональных данных, в том числе содержащей:
- подтверждение факта обработки Персональных данных Оператором;
- правовые основания и цели обработки Персональных данных;
- цели и применяемые Оператором способы обработки Персональных данных;
- наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании Федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки Персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом Персональных данных прав, предусмотренных Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче Персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
2.2.2.2. Требование от Оператора уточнения его Персональных данных, их блокирования или уничтожения, а также принятие предусмотренных законом мер по защите своих прав, в случае если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2.2.2.3. Обжалование действий или бездействий Оператора в уполномоченном органе по защите прав Субъектов или в судебном порядке, если Субъект Персональных данных считает, что Оператор осуществляет обработку его Персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы.
2.2.2.4. Защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку Персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых Персональных данных.
3.2.Целями обработки персональных данных Обществом являются:
- в отношении контрагентов, их представителей и работников
– выполнение норм Гражданского кодекса РФ о договорных обязательствах,
- заключение и исполнение договоров с контрагентами,
- предоставление оператором интернет-сервиса для работы с договорами,
- выполнение оператором действий по поручению представителей субъектов персональных данных;
- в отношении Субъектов
– предоставление Оператором интернет-сервиса для работы с договорами,
- идентификация стороны в рамках Сервисов и услуг, соглашений и договоров с оператором;
- продвижение товаров, работ, услуг на рынке;
- предоставление Субъекту персонализированных Сервисов и услуг, а также исполнение соглашений и договоров;
- заключение с Пользователем сделок (соглашений и договоров) купли-продажи товаров,
- предоставление услуг, выполнение работ и других; связь с Пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования Сервисов и услуг,
- исполнения соглашений и договоров, обработка запросов и заявок от Пользователя, а также информационных, новостных и рекламных рассылок;
- улучшение качества Сервисов и услуг, удобства их использования, разработка новых Сервисов.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Политика в отношении обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:
Трудовой кодекс Российской Федерации;
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.2. В целях реализации положений Политики в Обществе разработаны соответствующие локальные нормативные акты и иные документы, в том числе:
положение о защите персональных данных работников Общества;
иные локальные нормативные акты и документы, регламентирующие вопросы обработки персональных данных в Обществе.
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Объем персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 3.2 Политики.
5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
5.3. В Обществе обрабатываются персональные данные следующих категорий субъектов:
кандидатов, работников, родственников работников, лиц, ранее состоявших в трудовых отношениях с Обществом; физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности; контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц), физических лиц – пользователей приложения «FESTA» для мобильных операционных систем Apple iOS, Android и сайта http://festapizza.ru
5.3.1 Объем обрабатываемых персональных данных работников Общества.
При приеме на работу в Общество работники отдела по управлению персоналом обрабатывают следующие анкетные и биографические данные работника.
общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные, адрес места жительства);
сведения о воинском учете;
другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
В дальнейшем в личную карточку работника по форме Т-2 вносят сведения: о переводах на другую работу; аттестации, повышении квалификации, профессиональной переподготовке; наградах (поощрениях), почетных званиях; социальных льготах, на которые работник имеет право в соответствии с законодательством.
Цели обработки персональных данных работников Общества: ведение кадрового учета; учет рабочего времени работников; расчет заработной платы работников; ведение налогового учета; ведение воинского учета; предоставление в государственные органы регламентированной отчетности; обязательное и добровольное медицинское страхование работников; бронирование и оплата билетов и гостиничных номеров работникам; архивное хранение данных; содействие работнику в трудоустройстве, обучении, продвижении по службе, пользовании различных льгот.
Получение и обработка персональных данных работника Общества должны осуществляться исключительно в указанных целях. Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника в соответствии с требованиями трудового законодательства и внутренних нормативных документах Общества, регламентирующих кадровое делопроизводство и учет.
5.3.2 Персональные данные физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности; контрагентов – физических лиц и представителей, и работников контрагентов (юридических лиц).
Состав и объем персональных данных указанных субъектов определяется в соответствии с внутренними нормативными документами Общества, регламентирующими деятельность по реализации уставных целей, осуществление сделок в соответствии с законодательством Российской Федерации, на основании утвержденных форм документов (договоров/анкет и заявок).
Цели обработки персональных данных указанных субъектов: реализация уставных целей Общества; осуществление сделок в соответствии с законодательством Российской Федерации.
5.3.3 Объем обработки персональных данных физических лиц – пользователей приложения «FESTA» для мобильных операционных систем Apple iOS, Android и сайта http://festapizza.ru предоставляемые пользователями и минимально необходимые для идентификации аккаунта пользователя в системе: имя, номер мобильного телефона и адрес электронной почты; предоставляемые пользователями, необходимые для корректного оказания услуг Обществом пользователю, а также для таргетированного информирования пользователя об услугах; дополнительно предоставляемые пользователем в маркетинговых целях путем прохождения опросов. Цели обработки персональных данных указанных субъектов: исполнение условий пользовательских соглашений, заключенных между Обществом и пользователями.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общество при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лиц, ответственных за организацию обработки персональных данных в Обществе;
издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам,
предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
6.3. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
6.4. Обработка персональных данных в Обществе осуществляется следующими способами:
без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Общество обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
7.2. В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации оператором, а или неправомерности их обработки такая обработка должна быть прекращена.
7.3. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
7.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
8. РЕГЛАМЕНТ РЕАГИРОВАНИЯ НА ЗАПРОСЫ/ОБРАЩЕНИЯ СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Прием и регистрация запросов Субъектов.
Субъект может направить запрос как в письменной, так и в электронной форме. В зависимости от места нахождения Субъекта запросы направляются на адрес ближайшего обособленного подразделения Оператора.
К письменным запросам Субъектов относятся любые письменные обращения Субъектов, направленные в адрес Оператора, в том числе обращения, отправленные через отделения почтовой связи.
К электронным запросам Субъектов относятся обращения, направленные по электронной почте. В данном случае запрос подписывается ЭП Субъекта в соответствии с законодательством РФ.
Оператором не обрабатываются запросы, связанные с передачей или разглашением Персональных данных, поступившие по телефону или факсу, ввиду отсутствия возможности идентифицировать личность Субъекта.
Первичный учет поступивших запросов от Субъектов осуществляется в соответствии с правилами внутреннего документооборота Оператора.
8.2. Прием и регистрация личных обращений Субъектов.
К личным обращениям Субъектов относятся обращения при непосредственном посещении Субъектом (или его законным представителем) подразделений Оператора.
Прием личных обращений Субъектов (или их законных представителей) осуществляют работники Оператора, назначенные ответственными за организацию обработки Персональных данных.
При поступлении личного обращения Субъекта работником Оператора, назначенным ответственным за организацию обработки Персональных данных, выясняются:
- фамилия, имя и отчество Субъекта или его законного представителя;
- реквизиты документа, удостоверяющего личность Субъекта или его законного представителя (серия, номер, сведения о дате выдачи и выдавшем органе);
- суть обращения.
При личном обращении Субъекта работник Оператора, назначенный ответственным за организацию обработки Персональных данных, должен предоставить Субъекту соответствующий бланк обращения для оформления письменного запроса согласно приложению N 3 к Политике.
Обращения, изложенные на бумаге, принимаются для рассмотрения в соответствии с порядком, описанным в разделе 8.1 Политики.
8.3. Порядок рассмотрения запросов и обращений от Субъектов.
Письменный ответ Субъекту (или его законному представителю) направляется Оператором вне зависимости от формы запроса Субъекта (письменный или электронный) и результатов рассмотрения запроса или обращения. Подготовка ответов Субъекту (или его законному представителю) осуществляется работником Оператора, назначенным ответственным за организацию обработки Персональных данных.
Для оформления обращений Субъектов в адрес Оператора приняты единые формы, приведенные в приложении N 3 к Политике. Необходимость использования той или иной формы определяется в зависимости от сути обращения.
Запросы и обращения Субъектов (или их законных представителей) проверяются на наличие:
- фамилии, имени и отчества заявителя;
- фамилии, имени и отчества Субъекта;
- номера основного документа, удостоверяющего личность Субъекта или его законного представителя, сведений о дате выдачи указанного документа и выдавшем органе;
- собственноручной подписи Субъекта (или его законного представителя) - для письменных запросов и обращений;
- ЭП - для электронных запросов.
В случае необходимости работник Оператора, назначенный ответственным за организацию обработки Персональных данных, запрашивает дополнительную информацию у Субъекта (или его законного представителя).
Срок предоставления ответа Субъекту (или его законному представителю) не превышает 30 (тридцати) рабочих дней с момента получения обращения.
В сведениях, предоставляемых Субъекту (или его законному представителю) в доступной форме, не содержатся Персональных данных, относящиеся к другим Субъектам.
