Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона №152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.
Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее – ПДн), а также устанавливает ответственность ООО «Мастер Франшиза» (далее – Компания) и ее должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников Компании и иных субъектов, чьи ПДн обрабатываются Компанией.
В настоящей Политике содержатся положения об ответственности Компании и его работников в случае выявления нарушений обработки ПДн законодательству Российской Федерации (далее – РФ).
Настоящая Политика является общедоступным документом и размещена на официальном сайте Компании для обеспечения неограниченного доступа к ней.
Действие настоящей Политики не распространяется на отношения, возникающие при:
Положениями настоящей Политики руководствуются все работники Компании и иные субъекты ПДн, чьи ПДн обрабатываются Компанией.
В настоящем документе применяют следующие обозначения и сокращения:
ГПХ | — Гражданско-правового характера |
ИСПДн | — Информационная система персональных данных |
НСД | — Несанкционированный доступ |
Компания | — ООО «Мастер Франшиза» |
ПДн | — Персональные данные |
РФ | — Российская Федерация |
В настоящем документе применяют следующие термины с соответствующими определениями:
Автоматизированная обработка ПДн | — обработка персональных данных с помощью средств вычислительной техники |
Биометрические ПДн | — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность |
Блокирование ПДн | — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
Информационная система ПДн | — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Обработка ПДн | — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Общая категория ПДн (иные ПДн) | — персональные данные, не относящиеся ни к специальным категориям персональных данных, ни к биометрическим персональным данным |
Оператор ПДн | — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
ПДн, разрешенные субъектом ПДн для распространения | — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения |
Персональные данные (ПДн) | — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
Предоставление ПДн | — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
Распространение ПДн | — действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
Специальные категории ПДн | — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни |
Трансграничная передача ПДн | — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
Уничтожение ПДн | — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
Обработка ПДн осуществляется в Компании на основе следующих принципов:
Компания осуществляет обработку ПДн в целях осуществления деятельности Компании, согласно законодательству РФ и Уставу Компании
В Компании утверждены локально-нормативные акты, определяющие для каждой цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.
Категории субъектов, ПДн которых обрабатываются в Компании с использованием средств автоматизации или без использования таковых:
В Компании обрабатываются следующие категории ПДн:
В Компании назначено лицо, ответственное за организацию обработки ПДн.
В Компании назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.
В обработке ПДн Компании участвуют работники в рамках выполнения своих должностных обязанностей.
Обработка ПДн в Компании допускается в следующих случаях:
При этом заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
Если в соответствии с федеральным законом предоставление ПДн и (или) получение Компанией согласия на обработку ПДн являются обязательными, Компания разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
Включение Компанией ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.
Компания осуществляет обработку ПДн, разрешенных субъектом ПДн для распространения только в случае получения согласия на обработку ПДн, разрешенных субъектом ПДн для распространения и в соответствии с условиями и запретами, указанными в полученном согласии.
Компания осуществляет сбор (запись, систематизацию, накопление, хранение, уточнение, извлечение) ПДн граждан РФ, с использованием баз данных, находящихся на территории РФ.
Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн.
Обработка Компанией ПДн прекращается в следующих случаях:
Компания вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом.
Компания не осуществляет трансграничную передачу ПДн субъектов.
В случае возникновения необходимости в осуществлении трансграничной передачи Компания уведомит уполномоченный орган по защите прав субъектов персональных данных (далее – Роскомнадзор) о намерении такой передачи ПДн. Трансграничная передача ПДн будет осуществляться Компанией в случае отсутствия запрета на такую передачу по результатам рассмотрения уведомления Роскомнадзором и с учетом ограничений, установленных Роскомнадзором, при их наличии.
В случае принятия решения Роскомнадзором о запрете трансграничной передачи, Компания не осуществляет такую передачу ПДн субъектов и обеспечивает уничтожение уже переданных ПДн субъектов стороной-получателем.
В случае если Компания поручает обработку ПДн:
Компания обязуется и обязывает иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Компания принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:
Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
Сведения, касающиеся обработки ПДн субъекта ПДн, предоставляются Компанией в течение 10 рабочих дней с момента обращения либо получения Компанией запроса субъекта ПДн или его представителя. Срок предоставления сведений может быть увеличен не более чем на 5 дней с уведомлением субъекта ПДн и обоснованием увеличения срока.
Сведения, касающиеся обработки ПДн субъекта ПДн, предоставляются субъекту ПДн уполномоченными работниками Компании в той форме, в которой направлено соответствующее обращение или запрос, если иное не указано в обращении или запросе. В ответе на запрос о предоставлении сведений, касающихся обработки ПДн субъекта ПДн, не будут содержаться ПДн, относящиеся к другим субъектам ПДн.
Субъект ПДн имеет право на отзыв согласия на обработку своих ПДн, однако Компания вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии законных оснований.
В случае обработки Компанией ПДн, разрешенных субъектом ПДн для распространения, субъект имеет право обратиться с требованием прекратить распространение своих ПДн путем направления соответствующего требования в адрес Компании.
По вопросам, связанным с обработкой и защитой ваших ПДн, вы можете связаться с Компанией направив:
Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований законодательства или иным образом, нарушают его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Компании в Роскомнадзор.
Компания несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству.
Все работники Компании, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности ПДн.
Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими в Компании процедурами.
Любые нарушения настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности ПДн будут расследоваться в соответствии с действующими в Компании процедурами.
Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.