Политика в отношении обработки персональных данных общества с ограниченной ответственностью «МТех»

 

Общие положения

Настоящая Политика в отношении обработки персональных данных − ПДн (далее – Политика) ООО «МТех», ИНН 7733227037 (далее – Оператор) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

 

Основные понятия и сокращения, используемые в Политике:

персональные данные (ПДн)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

сookie– небольшой текстовый файл, размещаемый Сайтом на компьютере или устройстве Пользователя при посещении определенных разделов Сайта и/или использовании определенных функций Сайта, правила хранения и обработки которого регулируется настоящей Политикой.

 

1. Цели и принципы обработки ПДн

1.1. ПДн обрабатываются Оператором в целях, указанных в Приложении № 1 к настоящей Политике.

1.2. Обработка ПДн осуществляется на законной и справедливой основе.

1.3. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.

1.4. Оператором не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

1.5. Оператор обрабатывает только те ПДн, которые отвечают целям их обработки.

1.6. Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.

1.7. При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

1.8. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

1.9. Оператор обеспечивает конфиденциальность и безопасность ПДн при их обработке.

 

2. Правовые основания обработки ПДн

Обработка ПДн допускается Оператором в следующих случаях:

2.1. Обработка ПДн осуществляется с согласия субъекта персональных данных на обработку его ПДн.

2.2. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе, но не ограничиваясь, в целях выполнения требований:

Конституции Российской Федерации;

Трудового кодекса Российской Федерации;

Налогового кодекса Российской Федерации;

Гражданского кодекса Российской Федерации;

Федерального закона от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;

Федерального закона от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании»; Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

Федерального закона от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;

Федерального закона от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;

Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

Федерального закона от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719.

• Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
• Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
• Обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

 

3. Категории субъектов, ПДн которых обрабатываются Оператором

Категории субъектов, чьи ПДн обрабатываются, указаны в Приложении № 1 к настоящей Политике.

 

4. Категории ПДн, обрабатываемые Оператором

4.1.  Категории/перечень ПДн определяется в соответствии с законодательством Российской Федерации. Указанный перечень закреплен в приложении № 1 к настоящей Политике.

4.2.  Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.4. Оператором осуществляется обработка ПДн с использованием web-порталов https://mtxclean.ru/, https://mtech-color.ru/. Такая обработка ПДн осуществляется в целях размещения информации на официальном сайте, обеспечения обратной связи с посетителями сайта при продвижении товаров, работ, услуг Оператора, получения информации о пользователях сайтов (для определения предпочтений пользователей, предоставления целевой информации по продуктам и услугам Оператора).

4.4.1. В целях идентификации web-порталов https://mtxclean.ru/ , https://mtech-color.ru/ поисковой системой yandex.ru, а также учета частоты посещения страниц данного web-порталов Оператор использует службу Yandex.Metrika, технологии cookies. В момент посещения пользователем той или иной страницы Оператора браузер пользователя, выполняя сервисные коды службы Yandex.Metrika, передает в них информацию о факте посещения страницы, о времени посещения страницы, об адресе страницы, с которой произошел переход на текущую страницу, IP-адресе, данные об аппаратных событиях, файлы cookies, сведения о местоположении.

5. Трансграничная передача ПДн

Трансграничная передача ПДн Оператором не осуществляется.

6. Перечень действий, совершаемых оператором с персональными данными и способы их обработки

Оператор осуществляет: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); использование; передачу (предоставление, доступ); распространение; блокирование; удаление; уничтожение ПДн.

Оператор осуществляет обработку персональных данных для каждой цели их обработки смешанным способом: с использованием средств автоматизации и без.

 

7. Сроки обработки ПДн

ПДн обрабатываются Оператором с соблюдением сроков, указанных в Приложении № 1 к настоящей Политике.

Сроки обработки ПДн, в том числе их хранения, определены в соответствии с требованиями действующего законодательства РФ.

 

8. Порядок и условия обработки ПДн

8.1.    Обработка ПДн осуществляется Оператором при наличии оснований, определенных пп. 1 – 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.2. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8.3. Обработку персональных данных субъектов персональных данных могут осуществлять обособленные подразделения (филиалы) и партнеры Оператора (на основании договора).

8.4. Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей (занимающим должности, включенные в перечень должностей ООО «МТех», при замещении которых осуществляется обработка ПДн), и с соблюдением принципов персональной ответственности.

8.5. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• назначает лицо, ответственное за организацию обработки персональных данных (далее – ПДн);
• определяет угрозы безопасности персональных данных при их обработке;
• издает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных;
• подписывает NDA с сотрудниками и третьими лицами, имеющими доступ к ПДн.

 8.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

 

9. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения

9.1. Оператор в рамках своей деятельности может осуществлять распространение ПДн субъекта ПДн при наличии соответствующего согласия субъекта ПДн, полученного в строгом соответствии с требованиями статьи 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий. Субъект ПДн самостоятельно может определить категории и перечень ПДн, разрешенных для распространения.

9.3. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить условия и запреты, накладываемые на перечень и категории ПДн разрешенных субъектом ПДн для распространения.

9.4. Распространение ПДн производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет».

 

10. Права и обязанности субъектов ПДн

10.1. Субъекты ПДн имеют право на:

• полную информацию об их ПДн, обрабатываемых Оператором;
• доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку ПДн;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;
• осуществление иных прав, предусмотренных законодательством Российской Федерации.

 

11. Обеспечение защиты ПДн при их обработке Оператором

Оператор принимает меры, необходимые и достаточные для обеспечения защиты ПДн.

К таким мерам относятся:  

• назначение Оператором ответственного за обработку ПДн и ответственного за безопасность при обработке ПДн;
• издание Оператором документов, определяющих политику оператора в отношении обработки ПДн, а также локальных нормативных актов;
• установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности ПДн;
• хранение ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
• осуществление внутреннего контроля и (или) аудита в отношении обработки ПДн;
• определение оценки вреда, который может быть причинен субъектам ПДн;
• организация обучения и проведение методической работы с работниками обособленных подразделений Оператора, занимающими должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка ПДн;
• ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

 

12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки ПДн

Контроль за исполнением требований настоящей Политики, а также за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки ПДн, осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

 

13. Актуализация, исправление, удаление, уничтожение ПДн

13.1.  В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

13.2. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

13.3. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

• в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
• в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

13.4. При достижении целей обработки ПДн (в том числе по окончании сроков хранения персональных данных, предусмотренных действующим законодательством), а также в случае истечения срока согласия на обработку ПДн или отзыва субъектом ПДн согласия на их обработку, ПДн подлежат удалению, уничтожению способом, исключающим возможность последующего восстановления информации, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

13.5. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «МТех».

13.6. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

 

14. Реагирование на запросы субъектов ПДн

14.1. Порядок рассмотрения запросов по ПДн

14.1.1. Датой поступления запроса субъекта ПДн Оператору считается дата регистрации данного запроса в качестве входящей корреспонденции в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки ПДн».

14.1.2. Срок регистрации запроса составляет 3 рабочих дня со дня получения запроса Оператором.

14.1.3. Субъект ПДн или его представитель имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

• подтверждение факта обработки ПДн, а также правовые основания и цели такой обработки;
• способы обработки ПДн;
• сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
• перечень обрабатываемых ПДн и источник их получения;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о мерах, предпринятых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

14.1.4. Запросы субъектов ПДн, касающиеся обработки ПДн Оператором, в том числе запросы на уничтожение или уточнение ПДн, рассматриваются в сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и исчисляются с даты регистрации запроса субъекта ПДн или его представителя.

14.1.5. Оператор предоставляет сведения, указанные в п. 14.1.3. настоящей Политики субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

14.2.  Требования к оформлению запросов от субъектов ПДн.

14.2.1. Запрос субъекта ПДн или его представителя подается в письменной форме одним из следующих способов:

• по почте в адрес Оператора: 109544, г. Москва, ул. Рабочая, д.93с1, оф.319;
• по электронной почте: info@mtxclean.ru.

14.2.2.      Запрос       на       получение       информации,       касающейся       обработки        ПДн, перечисленной в п. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», предоставляется субъектом ПДн в произвольной форме и должен содержать следующие необходимые сведения о субъекте ПДн:

• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя,
• сведения о дате выдачи указанного документа и выдавшем его органе,
• сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором,
• подпись субъекта ПДн или его представителя.
  • Запрос/требование на прекращение передачи (предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения, должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, перечень ПДн, обработка которых подлежит прекращению, а также информационный ресурс, на котором они размещены.
  • К обработке принимаются запросы, оформленные в соответствии с требованиями действующего законодательства.

15. Заключительные положения

15.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Оператора по адресу в сети интернет: https://www.mtxclean.ru, если иное не предусмотрено новой редакцией Политики.

15.2. Действующая редакция хранится в месте нахождения Оператора по адресу: 109544, г. Москва, ул. Рабочая, д.93с1, оф.319, тел. +7 (495) 646-13 82  email: info@mtxclean.ru, электронная версия Политики – на сайте по адресу в сети интернет: https:// www.mtxclean.ru

15.3. Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу info@mtxclean.ru.

 

Приложение №1  к Политике в отношении обработки персональных данных ООО «МТех» 

ПЕРЕЧЕНЬ целей, сроков, способов обработки персональных данных, категорий субъектов и обрабатываемых персональных данных