Политика конфиденциальности "Винтаж"

ПОЛИТИКА

ООО «ВИНТАЖ» В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

«Винтаж» в отношении обработки персональных данных и обеспечения конфиденциальности (далее — Политика) действует в отношении персональных данных (далее – ПДн), которую ООО «Винтаж»» (далее – Компания) может получить о физических лицах (далее – Субъектов ПДн). Политика является открытым (общедоступным) документом.

При обработке персональных данных пользователей Компания руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативно-правовыми актами РФ в области защиты персональных данных

Принципы, которые лежат в основе подхода к конфиденциальности и обработке ПДн:

§ осуществление обработки персональных данных на законной и справедливой основе;

§ ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;

§ соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки, отсутствие избыточности обрабатываемых ПДн по отношению к целям их обработки;

§ недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях;

§ обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;

§ хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

§ мы ценим доверие, которое Вы оказываете нам, предоставляя Ваши ПДн. Мы всегда будем использовать Ваши ПДн честным и достойным доверия путем;

§ Вы имеете право получить достоверную информацию о том, как мы используем Ваши персональные данные. Для Вас должно всегда быть понятным то, какую информацию мы собираем, что мы с ней делаем, с кем мы делимся ею, и к кому следует обратиться, если у Вас возникли какие-либо проблемы;

§ если у Вас возникли какие-либо вопросы о том, как мы используем Ваши персональные данные, мы будем рады сотрудничать с Вами, чтобы оперативно решить все вопросы;

§ мы предпримем все необходимые меры для обеспечения безопасности персональных данных от неправомерного использования и сохраним ее в безопасном месте.

1. Персональные данные, обрабатываемые в Компании

1.1. Состав обрабатываемых в Компании ПДн формируется в соответствии с ФЗ №152, нормативными правовыми актами Российской Федерации, а также Уставом Компании, договорами и бизнес-процессами Компании, и состоит из следующей информации:

1.1.1. ПДн, которые физические лица предоставляют самостоятельно или через законных представителей.

1.1.2. Компания не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни, а также обработку биометрических ПДн.

1.1.3. Компания осуществляет обработку специальных категорий ПДн, касающихся сведений о состоянии здоровья физических лиц.

2. Основания обработки персональных данных

2.1. Компания осуществляет обработку ПДн в конкретных, заранее определенных и законных целях и на законных основаниях.

2.2. Обработка ПДн в Компании осуществляется в следующих случаях:

§ обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

§ обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;

§ обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

§ обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

§ обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

§ осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - общедоступные персональные данные);

§ осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Обработка специальных категорий ПДн производится в следующих случаях:

§ субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

§ обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

§ обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

3. Порядок обработки ПДн

Обработка ПДн всех категорий субъектов ПДн

3.1. Компания может поручить обработку ПДн третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:

§ обработка третьим лицом ПДн, предоставленных Компании субъектом ПДн (его законным представителем), может осуществляться только с согласия субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями ФЗ № 152;

§ обработка ПДн третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с ПДн, и цели обработки, а также положения по обеспечению безопасности ПДн, в том числе требования не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 ФЗ № 152.

3.2. Компания может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами и соглашениями с международными организациями или компаниями. При этом в указанные договоры и соглашения должны быть включены положения по обеспечению адекватной защиты прав субъектов ПДн (в том числе положения по обеспечению безопасности ПДн).

3.3. Компания осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн.

3.4. В случае выявления неточных ПДн субъектом ПДн и при обращении субъекта ПДн или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

3.5. В случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания обеспечивает их уточнение в установленный ФЗ №152 срок со дня предоставления таких сведений и снимает их блокирование.

3.6. В случае, если факт неточности ПДн не подтверждается на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Компания снимает их блокирование.

3.7. Хранение ПДн в форме, позволяющей идентифицировать субъекта ПДн, осуществляется не дольше, чем того требует достижение целей их обработки, если иное не установлено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

3.8. При сборе ПДн запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн, включая граждан Российской Федерации, осуществляются с использованием баз данных, расположенных на территории Российской Федерации.

4. Меры, применяемые для обеспечения безопасности персональных данных пользователей

4.1. При обработке ПДн Компания принимает необходимые правовые и достаточные организационные и технические меры для защиты ПДн пользователя и других субъектов ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

4.2. К мерам обеспечения безопасности ПДн в Компании относятся в том числе следующие:

¾ назначение лица, ответственного за организацию обработки ПДн в Компании;

¾ предоставление неограниченного доступа к настоящей Политике;

¾ учет обрабатываемых в Компании ПДн, категорий субъектов, ПДн которых обрабатываются;

¾ учет информационных систем, в которых обрабатываются ПДн;

¾ формализация и контроль выполнения порядка обработки ПДн в Компании;

¾ формализация и контроль выполнения требований по уничтожению ПДн и их носителей;

¾ обеспечение ознакомления под роспись работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн и настоящей Политикой;

¾ восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

¾ включение положений по обеспечению безопасности ПДн в договоры с третьими лицами, которым передаются ПДн, в том числе требования по соблюдению конфиденциальности переданных ПДн;

¾ организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения;

¾ осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности ПДн действующему законодательству Российской Федерации в области обработки и обеспечения безопасности ПДн:

¾ применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

¾ — обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;

¾ — установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

¾ — контролем за принимаемыми мерами по обеспечению безопасности ПДн в рамках установленного уровня защищенности ПДн при их обработке в ИСПДн.

5. Права и обязанности

5.1. Субъект ПДн имеет право:

¾ принимать решение о предоставлении своих ПДн и давать согласие на их обработку свободно, своей волей и в своём интересе;

¾ требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

¾ получать информацию, касающуюся обработки своих ПДн, на основании запроса и в порядке, установленном ФЗ № 152;

¾ на отзыв согласия на обработку своих ПДн, если наличие такого согласия требуется в соответствии с законодательством Российской Федерации;

¾ требовать извещения всех лиц, обрабатывающих ПДн по поручению Компании, которым ранее были сообщены неверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;

¾ обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;

¾ на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

¾ осуществлять иные права, предусмотренные законодательством Российской Федерации.

5.2. Субъект ПДн обязан:

¾ предоставлять достоверные ПДн;

¾ своевременно информировать Копании об изменении своих ПДн.

5.3. Компания, как оператор ПДн, имеет право:

¾ отстаивать свои интересы в суде;

¾ предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

¾ отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;

¾ обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации;

¾ осуществлять иные права, предусмотренные законодательством Российской Федерации.

5.4. Компания, как оператор ПДн, обязана:

¾ осуществлять обработку и защиту ПДн в соответствии с требованиями нормативных правовых актов Российской Федерации в области обработки и обеспечения безопасности ПДн;

¾ уведомлять субъекта об обработке его ПДн в случае получения ПДн от третьих лиц, если иное не установлено законодательством Российской Федерации;

¾ предоставлять субъекту ПДн информацию, касающуюся обработки его ПДн, по запросу субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;

¾ разъяснять субъекту ПДн юридические последствия отказа в предоставлении его ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;

¾ организовать прием и обработку обращений и запросов субъектов ПДн или их представителей;

¾ организовать прием и обработку запросов уполномоченных органов.

6. Изменение Политики. Применимое законодательство

6.1. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.

7.2. К настоящей Политике и отношениям между субъектами ПДн и Компанией, возникающим в связи с применением настоящей Политики, подлежит применению право Российской Федерации.

8. Обратная связь. Вопросы и предложения

8.1. Вопросы, касающихся обработки ПДн Компанией, субъекты ПДн могут направить на почтовый адрес Компании: 109028, г. Москва, Казарменный переулок, д. 3, стр. 6, эт. 1, пом. 8, к. 1-4, ООО «Винтаж».