Утверждено приказом
директора ООО «Медиа»
№ 32 от 04.10.2024 г.

Приложение № 1 к Приказу
№ 32 от 04.10.2024 г.

 

ПОЛИТИКА

ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «МЕДИА»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
И СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Красноярск

1. Общие положения

 

1.1. «Политика Общества с ограниченной ответственностью «Медиа» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «Медиа» (далее – Общество).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации в области персональных данных (далее – законодательство).

1.2. Политика разработана в соответствии с положениями законодательства Российской Федерации о персональных данных, локальными актами по вопросам обработки персональных данных, требованиями к защите персональных данных. Таким образом, правовым основанием обработки персональных данных являются:

• Конституция Российской Федерации,
• Трудовой кодекс Российской Федерации, 
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных         технологиях и о защите информации»;
• постановление Правительства от 06.07.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», 
• постановление Правительства от 01.11.2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке и информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Федеральный закон от 27.07.2006 года №152-ФЗ «О персональных данных»
• уставные документы Оператора;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласия субъектов на обработку персональных данных;
• Положение об обработке, защите, хранении и передаче персональных данных работников ООО «Медиа» от 29.12.2016 года. 

 

1.3. В Политике используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

База персональных данных – упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

Дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет;

Доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Обществом, при условии сохранения конфиденциальности этих сведений;

Интернет-магазин – интернет-сайт, принадлежащий Обществу, размещенный в сети Интернет на домене media-kr.ru, на котором представлены товары, предлагаемые покупателям для приобретения посредством оформления и размещения заказов, а также условия заказа, оплаты, предоставления дополнительных услуг и доставки приобретаемых товаров покупателям.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений и/или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Контрагент – сторона договора с Обществом, не являющаяся работником Общества;

Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования  дополнительной  информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных либо по его просьбе, а также данные, которые подлежат обязательному раскрытию или опубликованию в соответствии с требованиями законодательства;

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В Политике под оператором понимается Общество;

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Ручной способ обработки персональных данных - занесение их на материальные носители вручную и дальнейшая работа с такими носителями.

Сайт – сайт Общества в сети Интернет media-kr.ru;

Субъект персональных данных – физическое лицо, к которому относятся персональные данные;

Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

1.4. Основные права и обязанности оператора персональных данных. 

Оператор имеет право:

• получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных при наличии оснований, указанных в Законе о персональных данных;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

Оператор обязан: 

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся  обработки его персональных данных;

– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в установленный законодательством срок с даты получения такого запроса;

– публиковать или иным образом обеспечивать неограниченный доступ к настоящему Положению в отношении обработки персональных данных;

– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

 

1.5. Основные права и обязанности субъектов персональных данных.

Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– получать доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;

– требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг; 

– на отзыв согласия на обработку персональных данных;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством РФ.

Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных;

- соблюдать положения, установленные настоящим Положением.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

1.6. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.7. Положение является локальным нормативным актом Работодателя, обязательным для соблюдения и исполнения Работниками, а также иными лицами, участвующими в обработке персональных данных Работников в соответствии с настоящим Положением.

1.8. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну).

2.  Категории субъектов, чьи персональные данные обрабатываются Обществом. Категории обрабатываемых персональных данных.

 

2.1. Объем персональных данных каждой категории определяется необходимостью достижения конкретных целей их обработки.

2.2. Общество является оператором персональных данных в отношении персональных данных следующих категорий субъектов:

• работников Общества, с которыми заключены или были заключены трудовые договоры, в том числе те, с которыми трудовые договоры уже прекращены (расторгнуты) (далее – Работники, бывшие работники); 

    Оператор может обрабатывать следующие персональные данные:

    фамилия, имя, отчество (при наличии) (а также все предыдущие фамилия, имена, отчества);

дата рождения, месяц рождения, год рождения; 

пол; 

место рождения; 

сведения о регистрации по месту жительства (включая адрес, дату регистрации), сведения о месте фактического проживания, 

номер телефона, адрес электронной почты; 

гражданство, 

паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения) 

сведения о номере и серии страхового свидетельства государственного пенсионного страхования (СНИЛС); 

сведения об идентификационном номере налогоплательщика (ИНН); 

сведения о заработной плате и иных доходах и выплатах (включая премии и т.д.);

банковские реквизиты (реквизиты банковской карты, номер расчетного счета, номер лицевого счета, наименование банка)

сведения об образовании (наименование учебного заведения, год окончания, серия, номер, дата выдачи документа об образовании, квалификация специальность, разряд), 

профессия, 

должность,

стаж работы (общий, непрерывный, дающий право на выслугу лет), 

сведения о предыдущих местах работы, 

доходы с предыдущих мест работы; 

сведения о наградах и поощрениях; 

семейное положение, 

состав семьи (фамилии, имена и отчества членов семьи, даты рождения, места работы и/или учебы); 

сведения о воинском учете;

реквизиты документов воинского учета (серия, номер, дата выдачи, наименование органа, выдавшего его)

сведения о социальных льготах (в соответствии с действующим законодательством Российской Федерации); 

биометрические персональные данные (личные фотографии на бумажных носителях, фотографии на электронных носителях, видеоизображения);

данные водительского удостоверения (серия, номер, дата выдачи, наименование органа выдавшего документ, категории)

• близких родственников работников Общества и лиц, находящихся на иждивении Работников, бывших супругов, которым выплачиваются алименты, обработка персональных данных которых предусмотрена законодательством, а также выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета (далее – Члены семей работников); 

Оператор может обрабатывать следующие персональные данные: 

фамилия, имя, отчество (при наличии), (в том числе все предыдущие фамилии, имена, отчества);

дата, месяц и год рождения; 

пол; 

степень родства, 

номер телефона (домашний и сотовый), 

адрес прописки (место регистрации, дата регистрации),

почтовый адрес, 

адрес электронной почты; 

гражданство, 

данные документов удостоверяющих личность (номер, серия, дата выдачи, наименование  органа выдавшего документ), 

свидетельства о рождении детей (номер, дата выдачи, наименование органа, выдавшего документ), 

данные о месте обучения детей, 

• соискателей вакантных должностей Общества (кандидатов для приема на работу Обществом), представивших свои резюме или анкеты лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе – специализированные сайты в сети Интернет (далее – Соискатели);

       Оператор может обрабатывать следующие персональные данные соискателей: фамилия, имя, отчество; 

пол, 

дата, месяц и год рождения; 

номер телефона, адрес электронной почты; 

сведения об образовании (наименование учебного заведения, год окончания)

сведения о повышении квалификации, 

сведения о дополнительном образовании; 

профессия, 

должность,

стаж работы, 

данные о предыдущих местах работы; 

семейное положение. 

• конечных потребителей продукции Общества, покупателей Интернет-магазина, предоставивших свои персональные данные Обществу для обработки, участников проводимых маркетинговых акций, мероприятий и исследований, иных лиц, обратившихся в Общество любым доступным способом и предоставивших свои персональные данные в связи с обращением (далее – Покупатели).

       Оператор может обрабатывать следующие персональные данные покупателей:

    фамилия, имя, отчество; 

    дата, месяц, год рождения

номер телефона; 

адрес электронной почты;

адрес доставки товара; 

паспортные данные (серия, номер, дата выдачи, наименование органа выдавшего документ), 

пол;

гражданство;

сведения о прописке (адрес прописки, дата регистрации).

• контрагентов – физических лиц и индивидуальных предпринимателей, с которыми у Общества существуют договорные отношения, с которыми Общество намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с Обществом (далее- Контрагенты)

Оператор может обрабатывать следующие персональные данные контрагентов: 

фамилия, имя, отчество; 

дата, месяц и год рождения;

пол;

данные о прописке (адрес регистрации, дата регистрации по месту проживания); 

номер телефона;

адрес электронной почты;

паспортные данные (серия, номер, дата выдачи, наименование органа выдавшего документ);

банковские реквизиты: (номер расчетного счета, номер лицевого счета, наименование банка);

сведения об идентификационном номере налогоплательщика (ИНН);

• представителей контрагентов Общества – юридических лиц и индивидуальных предпринимателей, в том числе работников, владельцев, представителей, действующих на основании доверенности, и иных представителей контрагентов, с которыми у Общества существуют договорные отношения, с которыми Общество намерено вступить в договорные отношения или которые намерены вступить в договорные отношения с Обществом (далее – Представители контрагентов);

       Оператор может обрабатывать следующие персональные данные представителей контрагентов: 

фамилия, имя, отчество; 

должность, 

номер телефона;

адрес электронной почты;

паспортные данные (серия, номер, дата выдачи, наименование органа выдавшего документ);

сведения о прописке (адрес прописки, дата регистрации).

• авторизовавшихся пользователей сайта Общества, заполнивших веб-формы регистрации и (или) обращения на страницах сайта (далее – Пользователи сайта;

Оператор может обрабатывать следующие персональные данные пользователей сайта: 

фамилия, имя, отчество, 

номер телефона, 

адрес доставки товара, 

адрес электронной почты.

2.3. Субъект персональных данных одновременно может относиться к нескольким категориям, указанным выше. Например, являться Покупателем и Пользователем сайта.

2.4. Общество является лицом, осуществляющим предоставление персональных данных другим операторам в соответствии с требованиями законодательства, к которым относятся без ограничения:

• органы власти, местного самоуправления и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (инспекции Федеральной налоговой службы, территориальные отделения Социального фонда России, Федерального фонда обязательного медицинского страхования и др.), надзорные органы;
• органы статистики, военные комиссариаты, операторы связи, профсоюзные органы, иные организации, которым персональные данные предоставляются (передаются) в случаях, предусмотренных законодательством;
• операторы фискальных данных, которым передаются персональные данные кассиров в соответствии с требованиями законодательства.

Указанным выше операторам персональные данные предоставляются (передаются) в объеме, определенном законодательством, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Согласия субъектов на такую передачу персональных данных не требуется.

3. Принципы обработки персональных данных. 

 

Обработка персональных данных Обществом осуществляется в соответствии со следующими принципами:

3.1. Законность и справедливая основа обработки персональных данных. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.

3.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. 

3.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки персональных данных. Общество не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.2 Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

3.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

3.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Общество принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные и требовать от Общества их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

3.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных. Хранение персональных данных осуществляется в базах данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

3.7. Уничтожение персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.

 

4. Цели обработки персональных данных

 

1. В отношении Работников (бывших работников) - осуществление и выполнение возложенных законодательством РФ и международными договорами РФ на Работодателя функций, полномочий и обязанностей (регулирование трудовых отношений и иных непосредственно связанных с ними отношений, обеспечение трудовых прав работников; отражение информации в кадровых документах; защита жизни, здоровья или иных жизненно важных интересов Работников; расчет и выплата заработной платы, пособий и иных выплат Работнику; предоставление налоговых вычетов, обеспечение социального страхования и социального обеспечения работников, предоставление работникам гарантий и компенсаций в соответствии с законодательством; организация медицинского и иного страхования Работника и имущества Работодателя; организация командировок и иных поездок Работников (включая компенсацию расходов); осуществление технической и организационной поддержки Работника в служебных целях; осуществление прав и законных интересов Работодателя или третьих лиц при условии, что при этом не нарушаются права и законные интересы Работников; выпуск доверенностей и иных уполномочивающих документов; обучение, продвижение по работе; представление работодателем установленных законодательством сведений и отчетности в уполномоченные государственные органы в отношении физических лиц, в том числе в Социальный фонд РФ, Федеральную налоговую службу РФ, Органы воинского учета РФ, Органы статистики РФ, Органы занятости РФ и иные уполномоченные органы в соответствии с законодательством РФ; обеспечение безопасности работников в процессе трудовой деятельности).    
2. В отношении Членов семей работников – предоставление работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; выполнение требований ТК РФ об информировании родственников о тяжелых несчастных случаях или несчастных случаях со смертельным исходом; выплата алиментов; предоставление иных льгот за счет работодателя, медицинское страхование.
3. В отношении Соискателей – подбор и управление персоналом, принятие решения о возможности замещения вакантных должностей соискателями, наиболее полно соответствующими требованиям Общества.
4. В отношении Покупателей, Контрагентов, Представителей контрагентов – подготовка, заключение и исполнение гражданско-правового договора (обеспечение функционирования программ лояльности Общества, продажи через торговые офисы и Интернет-магазин, включая доставку товара и предоставление иных услуг; проведение маркетинговых акций, мероприятий и акций Общества, таких как обучающие лекции, семинары, конференции, мастер-классы, обмен советами и практиками, получение рекомендаций, исследований и других мероприятий для Покупателей и (или) с их участием; подготовка ответов на обращения и запросы продвижение бренда Общества; участие в судебных спорах, связанных с основной деятельностью Оператора).
5. В отношении Пользователей сайта – продвижение продукции на рынке (продажа, возможность приобретения и доставки продукции Общества в Интернет-магазине; предоставление возможности участия в мероприятиях и акциях Общества, таких как обучающие лекции, семинары, конференции, мастер-классы, обмен советами и практиками, получение рекомендаций, предоставление возможности воспользоваться формами обратной связи с Обществом.

 

5. Порядок и условия обработки персональных данных

 

5.1. Перечень действий, совершаемый Оператором с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, уничтожение. 

5.2. Порядок получения (сбора) персональных данных: 

5.2.1. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

5.2.2. Источником информации обо всех персональных данных является непосредственно субъект персональных данных, который предоставляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися документами.

5.2.3. При получении персональных данных не от субъекта (за исключением случаев, если персональные данные являются общедоступными), если его персональные данные возможно получить только у третьей стороны, субъект должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. 

5.2.4. Уведомление о получении персональных данных от третьих лиц должно содержать:

• наименование Оператора и адрес его местонахождения;    
• цель обработки персональных данных и ее правовое основание;    
• предполагаемые пользователи персональных данных;    
• установленные законом права Работника как субъекта персональных данных;
• источник получения персональных данных;
• информацию о перечне обрабатываемых персональных данных.    
  5. 5. Оператор не имеет права получать и обрабатывать специальные персональные данные (о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, членстве в общественных объединениях или его профсоюзной деятельности). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 10 Федерального закона О персональных данных Оператор вправе получать и обрабатывать данные о состоянии здоровья работника без его согласия.
     6. Персональные данные соискателей на вакантные должности попадают в Общество через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Общества. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. При предоставлении резюме лично или по электронной почте работник предоставляет согласие на обработку персональных данных. Копии подтверждающих документов могут храниться в Обществе, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности.
     7. Работники обязаны в срок, не превышающий 5 календарных дней, сообщать ответственному за ведение кадрового делопроизводства Оператора с предъявлением соответствующих документов об изменении следующих своих персональных данных: фамилия, имя, отчество; данные документа, удостоверяющего личность; год, месяц, дата и место рождения; состояние в браке, состав семьи, адрес регистрации по месту жительства (пребывания), уровень образования. 
  6. Порядок обработки персональных данных

5.3.1 При обработке персональных данных Субъекта персональных данных в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации и иных федеральных законов, а также международных договоров, имеющих юридическую силу на территории России.

 

5.3.2. Обработка персональных данных Оператором допускается в следующих случаях:

• При наличии согласия субъекта персональных данных на обработку его персональных данных.
• Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей. 
• Для исполнения договора, стороной которого является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных. Такими договорами, не ограничиваясь, являются:
• трудовые договоры с Работниками;
• гражданско-правовые договоры с контрагентами – физическими лицами, юридическими лицами и индивидуальными предпринимателями;
• договоры розничной купли-продажи, заключенные с Покупателем при продаже товаров через Интернет-магазин дистанционным способом или в офисах продаж Оператора.

Преддоговорной работой является работа по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой Соискателя или анкетой (резюме), переданной им Обществу, в специализированную организацию по подбору персонала, либо размещенной Соискателем на специализированных сайтах в сети Интернет или присланной Соискателем Обществу по электронной почте. В случае если заключение трудового договора инициируется Обществом, обработка персональных данных Соискателей ведется при наличии их согласия на обработку, полученного в любой доказываемой форме.

5.3.3. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

5.3.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.

5.3.5. Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения Работником трудовой функции и необходимых для целей, определенных законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством, законодательством об обязательных видах страхования, страховым законодательством), интимной жизни, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.

5.3.6. Общество не принимает решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы субъекта, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Общества.

5.4. Хранение персональных данных

5.4.1. Сведения, содержащие персональные данные Работников (в том числе бывших Работников, Членов семей Работников) на бумажных носителях включаются в личное дело, личную карточку Работника, кадровые документы, а также содержатся на электронных носителях, доступ к которым разрешен лицам, непосредственно использующим персональные данные Субъекта персональных данных в служебных целях. 

5.4.2.    Личное дело, анкета Работника (бывшего Работника), кадровые документы, включающие в себя персональные данные Работника персональные данные членов его семьи, содержащиеся на бумажных носителях, находятся у Работодателя в специально отведенном шкафу, который обеспечивает защиту от несанкционированного доступа. Персональные данные могут также храниться в электронном виде на сервере Оператора, защищенном от несанкционированного доступа с помощью системы защиты, созданной Оператором.

5.4.3. Сведения, содержащие персональные данные Соискателей на бумажном носителе хранят у Оператора не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности, после чего подлежат уничтожению.

5.4.4. Сроки и порядок хранения Оператором персональных данных определяются в соответствии Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства № 236 от 20.12.2019 г.

5.4.5. Срок хранения персональных данных, обрабатываемых в информационных системах, соответствует сроку хранения персональных данных на бумажных носителях.

5.4.6. Если срок хранения персональных данных субъекта не установлен в законе или договоре с ним, то хранить их нужно не дольше, чем это нужно для цели их обработки. 

5.5. Использование, передача персональных данных.

5.5.1. Информация, относящаяся к персональным данным Субъекта персональных данных, может быть предоставлена государственным органам и негосударственным структурам в порядке, предусмотренном федеральным законодательством Российской Федерации. К таким органам и структурам, в частности относятся:

•    Налоговые органы

•    Правоохранительные и судебные органы

•    Органы статистики

•    Военкоматы

•    Фонд Социального Страхования и его территориальные органы

•    Фонд Обязательного Медицинского Страхования и его территориальные органы

•    Социальный Фонд России и его территориальные органы

•    Органы занятости населения

•    Муниципальные органы управления

•    Иные органы, которым в силу законодательства Работодатель должен предоставлять персональные данные Субъекта персональных данных исключительно в пределах, обусловленных целью их обработки и предусмотренных российским законодательством. Такая информация передается по запросу вышеуказанных органов на основании настоящего Положения в случаях, предусмотренных российским законодательством.

5.5.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных.

5.5.3. В случае если третье лицо, обратившееся с запросом о получении персональных данных, не уполномочено федеральным законом или иными правовыми актами на получение такой информации, либо отсутствует письменное согласие Субъекта персональных данных на предоставление его персональных данных, Оператор обязан отказать такому лицу. Лицу, обратившемуся с письменным запросом, может выдаваться письменное уведомление об отказе в предоставлении персональных данных.

5.6. В случае подтверждения неточности персональных данных, их неактуальности  или неправомерности их обработки, персональные данные подлежат их актуализации и исправлению оператором, а обработка должна быть прекращена, соответственно. В случае выявления неточностей в персональных данных или неправомерности их обработки, Субъект персональных данных может актуализировать их самостоятельно, путем направления уведомления на адрес электронной почты Оператора info@media-kr.ru с пометкой «Актуализация персональных данных».

5.7. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с запросом на электронную почту info@media-kr.ru.

5.8. Оператор прекращает обработку персональных данных субъекта, в случае, когда цель обработки персональных данных субъекта достигнута, по истечении срока действия согласия на обработку персональных данных, при отзыве субъектом согласия на обработку его персональных данных, а также при выявлении неправомерности обработки персональных данных.

5.9. Уничтожение персональных данных. 

5.9.1. Обрабатываемые персональные данные подлежат уничтожению в следующих случаях: 

• при достижении целей обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений при обработке персональных данных, если иное не предусмотрено федеральным законом;
• при изменении, признания утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
• при отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом «О персональных данных».

5.9.2. Вопрос об уничтожении персональных данных рассматривается комиссией, состав которой утверждается приказом руководителя. По итогам работы комиссии составляется протокол и акт о выделении к уничтожению документов, составляется опись уничтожаемых дел. Акт подписывается председателем комиссии и членами комиссии. Персональные данные на бумажных носителях уничтожаются посредством шредера.

5.9.3. Уничтожение персональных данных на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или путем удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

 

6. Способы обработки персональных данных

 

6.1. Оператор осуществляет смешанный тип обработки персональных данных с использованием средств автоматизации, а также без использования таких средств.

6.2. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке без использования средств автоматизации – только в случаях, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

 

7. Конфиденциальность персональных данных

 

7.1. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7.2. Работниками, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Конфиденциальность персональных данных установлена ст.7 Федерального закона «О персональных данных».

7.3. Оператор  вправе с согласия субъекта поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных и требования к их обработке, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Оператором.

В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, перечень обрабатываемых по поручению персональных данных, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, по запросу Оператора в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 закона.

7.4. Оператор вправе разместить свои информационные системы персональных данных в дата-центре или облачной вычислительной инфраструктуре. Если договором с дата-центром или облачным провайдером доступ персонала дата-центра (облачного провайдера) к информационной системе персональных данных Оператора не допускается и договор предусматривает обязанность дата-центра (облачного провайдера) контролировать соблюдение этого запрета, данное размещение не рассматривается Оператором как поручение обработки персональных данных дата-центру (облачному провайдеру) и не требует согласия субъектов персональных данных.

7.5. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

7.6. В случае если Оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Оператор и лицо, осуществляющее обработку персональных данных по поручению Оператора.

8. Согласие субъекта персональных данных на обработку персональных данных

 

8.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.

8.2. В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

8.3. В случае получения Оператором персональных данных от контрагента на основании заключенного между ними договора ответственность за правомерность и достоверность персональных данных, а также за получение согласия субъектов (их представителей) на передачу их персональных данных Оператору несет контрагент, передающий персональные данные, что закрепляется в тексте договора с контрагентом.

8.4. Оператор, получивший персональные данные от контрагента, не принимает на себя обязательства по информированию субъектов (их представителей), чьи персональные данные ему переданы, о начале обработки персональных данных, полагая, что они проинформированы об этом передавшим персональные данные контрагентом при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу. Данная обязанность контрагента включается в договор между ним и Оператором.

8.5. Специально выраженного согласия Членов семей работников Общества не требуется, если обработка их персональных данных осуществляется на основании законодательства (для оформления социальных выплат, предоставления льгот и гарантий, для перечисления и получения алиментов и пр.), а также выполняется Оператором как работодателем в соответствии с требованиями органов государственного статистического учета. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Членов семей работников на обработку их персональных данных Обществом.

8.6. Специально выраженного согласия Соискателя на обработку его персональных данных не требуется, так как обработка необходима в целях заключения трудового договора по инициативе Соискателя-субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных или предполагается включение соискателя во внешний кадровый резерв Общества. 

8.7. Согласие Покупателей дается путем проставки отметки («галочки») в чекбоксе веб-формы при регистрации на сайте Оператора, при присоединении к программам лояльности, при заполнении форм заявок на доставку, на выполнение работ и/или оказание услуг, при оформлении заказа товаров и/или услуг на сайте ООО «Медиа», а также в форме конклюдентных действий при обращении в ООО «Медиа» любым способом и предоставлении персональных данных, необходимых для рассмотрения обращения.

8.8. Персональные данные лиц, подписавших договор с ООО «Медиа», содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку таких данных не требуется.

8.9. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Обществом, предоставивших доверенности на право действовать от имени и по поручению контрагентов Общества, а также заполнивших веб-форму на сайте Общества и указавших свои персональные данные и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора, доверенности и (или) регистрационной форме. Согласие у своего работника на передачу его персональных данных Обществу и обработку им этих персональных данных может получить контрагент. В этом случае получения Обществом согласия субъекта на обработку его персональных данных не требуется.

8.10. Согласие Пользователей сайта на обработку их персональных данных дается путем простановки соответствующей отметки в чекбоксе веб-формы на сайте, предусматривающей ввод персональных данных, или при акцепте оферты, предусматривающей обработку персональных данных, а также при указании персональных данных в запросах, направляемых в ООО «Медиа» через сайт.

8.11. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе является согласие в форме электронного документа, подписанного электронной подписью в соответствии с требованиями, установленными законодательством об электронной подписи.

8.12. Согласие субъектов на предоставление их персональных данных не требуется при получении Обществом в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

8.13. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

8.14. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства РФ или не требуется для исполнения договора с ООО «Медиа», стороной которого является субъект персональных данных, может быть отозвано субъектом персональных данных.

8.15. Субъект вправе в любой момент отозвать согласие на обработку его персональных данных, направив письмо Оператору на электронный адрес info@media-kr.ru или на почтовый адрес: 660059, г. Красноярск, ул. Семафорная, д. 439 Д, к.1

8.16. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.

 

9. Сведения о реализуемых требованиях к защите персональных данных

 

9.1. Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных. Согласно ч.2 ст.18.1, ч.1 ст.19 Федерального закона «О персональных данных».

9.2. Правовые меры:

• разработаны локальные нормативные акты, реализующие требования законодательства, в том числе Политика в отношении обработки персональных данных;
• Не используются способы обработки персональных данных, не соответствующие целям, заранее предопределенным Обществом.

9.3. Организационные меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• назначено лицо, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных;
• ограничен состав работников Общества, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
• работники Общества ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Оператора по вопросам обработки персональных данных;
• в Положении определен порядок обработки и обеспечения безопасности персональных данных в Обществе, определены обязанности работников Общества по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
• организован учёт машинных носителей персональных данных и их хранение, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
• определен тип угрозы безопасности персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определен уровень защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• определена угроза безопасности персональных данных при их обработке в информационных системах, формирование на их основе модели (моделей) угроз;
• технические средства обработки персональных данных размещены в пределах охраняемой территории;
• ограничен допуск посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.

9.4. Технические меры:

• разработана на основе модели угроз система защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;
• использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
• реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации, предусматривающей разграничение прав доступа пользователей;
• ограничение программной среды;
• выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
• безопасное межсетевое взаимодействие (применение межсетевого экранирования);
• идентификация и проверка подлинности пользователя (аутентификацию) при входе в информационную систему по паролю;
• обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
• принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (система резервного копирования и восстановления персональных данных);
• периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных.

 

10. Заключительные положения

 

10.1. Иные обязанности и права Общества как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.

10.2. Должностные лица и работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Обратная связь

 

По всем вопросам относительно этой Политики и работы с персональными данными, субъект персональных данных может в любое время связаться с ООО «Медиа» написав на   e-mail: info@media-kr.ru  

Почтовый адрес ООО «Медиа» для направления запросов и/или обращений субъектами персональных данных: 660059, Красноярский край, г. Красноярск,         ул. Семафорная, д. 439 Д, корпус 1.