Соглашение на обработку персональных данных

УТВЕРЖДЕНО

Приказом генерального директора ООО «Бусидо »

от 26.08.2021 № 7

ПОЛИТИКА

в отношении обработки и защиты персональных в ООО «Бусидо»

(далее – Оператор)

Раздел 1. ЦЕЛИ ПОЛИТИКИ

Настоящий документ определяет политику в отношении обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных, и утвержден во исполнение ст. 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон).

Раздел 2. ОСНОВНЫЕ ПОНЯТИЯ

Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в статьей 3 Закона, в частности:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики Оператором обработки персональных данных (оператором) является Общество с ограниченной ответственностью «Бусидо»;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Раздел 3. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В зависимости от субъекта персональных данных Оператор обрабатывает персональные данные следующих категорий субъектов:

- кандидаты на вакантные должности – физические лица, претендующие на замещение вакантных должностей Оператора;

- работники – физические лица, связанные с Оператором трудовыми отношениями;

- члены семьи (при их отсутствии - близкие родственники) работников – физические лица,

- находящиеся в семейных (родственных) отношениях с работниками Оператора;

- контрагенты – физические лица, с которыми у Оператора заключены договоры гражданско-правового характера;

- получатели услуг – физические лица, обратившиеся к Оператору за получением услуг согласно специфике Оператора;

- предоставления клиентам услуг по продаже, доставке, возврату, замене, приему в ремонт товара;

- предоставления клиентам услуг гарантийного сервисного обслуживания, а также, дополнительных сервисов и услуг;

- продвижения товаров, работ, услуг на рынке, путем осуществления прямых контактов с субъектом персональных данных, направления уведомлений, информации, о текущих специальных предложениях, акциях, скидках, иных сведений и запросов, связанных с исполнением договоров;

- подключение к операторам сотовой связи;

- обеспечения участия в бонусной программе, предоставления скидок, начисления/списания баллов в рамках программы в соответствии с бонусной программы;

- обеспечения приёма платежей, осуществления денежных переводов, исполнения обязательств по договорам с банковскими и страховыми организациями о предоставлении услуг клиентам;

- иные субъекты в связи с заключением Оператором иных сделок, не противоречащих законодательству Российской Федерации и Уставу Оператора.

При доступе к Сайту ООО «Бусидо» и последующих действиях на Сайте ООО «Бусидо» в соответствии с Политикой в отношении использования файлов cookie, размещенной на сайте ООО «Бусидо» осуществляет сбор следующих данных:

- Фамилия, имя, отчество;

- Электронный адрес.;

- Номера телефонов;

- IP-адрес хоста;

- данные о действии, совершаемым посетителем Сайта ООО «Бусидо» (например, завершение регистрации, изменение города, переход на сайт партнера и др.);

- данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также о настройках, типе и языке браузера, дате и времени запроса и URL перехода;

- информация, автоматически получаемая при доступе к Сайту ООО «Бусидо» с использованием закладок (cookies).

Не допускается обработка персональных данных, которые не отвечают целям обработки

3.2. Оператор руководствуется следующими принципами по установлению целей обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- цели обработки персональных данных различаются и устанавливаются Оператором в зависимости от категорий субъектов персональных данных и(или) в зависимости от отдельных групп субъектов персональных данных, относящихся к одной категории. При этом, цели обработки должны быть конкретные, заранее определенные и законные, а обработка персональных данных должна ограничиваться достижением этих целей;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;

- при обработке персональных данных Оператор соблюдает иные принципы и правила обработки, установленные законодательством Российской Федерации.

3.3. Оператор руководствуется сроками обработки персональных данных в зависимости от категорий субъектов персональных данных и с учетом положений нормативных правовых актов Российской Федерации, а также с учетом условий договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.4. Оператор осуществляет обработку персональных данных субъектов в случаях, установленных законодательством Российской Федерации в области персональных данных. Одним из таких случаев является предоставление субъектом согласия на обработку его персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Оператор обеспечивает получение конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных. Если иное не предусмотрено федеральным законом, следующие действия осуществляются Оператором только при наличии согласия субъекта персональных данных:

- поручение обработки персональных данных другому лицу на основании заключаемого с этим лицом договора;

- раскрытие и распространение персональных данных третьим лицам.

Кроме того, согласие субъекта персональных данных требуется в иных случаях, предусмотренных законодательством Российской Федерации.

Когда согласие необходимо, Оператор его получает в любой позволяющей подтвердить факт его получения форме, за исключением случаев, когда в соответствии с федеральным законом обработка персональных данных осуществляется только с согласия в письменной форме.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва согласия на обработку персональных данных Оператор продолжает обработку персональных данных, если это не противоречит законодательству о персональных данных.

3.5. Права субъекта персональных данных

3.5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Состав предоставляемых сведений, а также порядок, правила и сроки их предоставления установлены настоящей Политикой и иными положениями Закона. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

3.5.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.5.3. Иные права субъекта персональных данных, в том числе право на обжалование действий или бездействий Оператора, установлены Законом.

3.6. Права и обязанности Оператора

3.6.1. Оператор вправе:

- предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных;

- продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных Законом;

- мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.

3.6.2. Обязанности Оператора:

При обработке персональных данных Оператор обязан соблюдать безопасность и конфиденциальность обрабатываемых персональных данных, а также выполнять иные требования, предусмотренные законодательством Российской Федерации в области персональных данных.

Раздел 4. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор реализует следующие требования законодательства в области персональных данных:

- требования о соблюдении конфиденциальности персональных данных;

- требования об обеспечении реализации субъектом персональных данных своих прав (в т.ч. на доступ к информации);

- требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению или уточнению неполных или неточных данных);

- требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- иные требования законодательства.

4.2. В соответствии с ч. 1 ст. 18.1. Закона и если иное не предусмотрено Законом или другими федеральными законами, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных. В частности, защита персональных данных достигается Оператором путем:

- издания Оператором настоящей Политики, а также разработки иной документации с учетом требований законодательства в области персональных данных;

- организацией доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

- соблюдение работниками, допущенных к обработке персональных данных субъектов, требований,

- установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами Оператора.

Раздел 5. СВЕДЕНИЯ О ПРИНЯТЫХ МЕРАХ

5.1. В целях выполнения требований, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», ООО «Бусидо», как оператор, принимает следующие меры:

5.1.1. Оператор назначил ответственных лиц за обработку и защиты персональных данных.

5.1.2. Руководителем Оператора утверждены следующие документы:

- инструкция администратора безопасности;

- инструкция пользователя ИСПДн;

- инструкция по организации работ с антивирусными средствами;

- инструкция по обеспечению безопасности и защиты исходных текстов программного обеспечения и скриптов баз данных;

- инструкция по работе с ресурсами сети Интернет;

- инструкция по организации учета, использования, хранения и уничтожения машинных носителей данных, предназначенных для обработки и хранения конфиденциальной информации;

- инструкция по организации обработки конфиденциальной информации;

- инструкция по определению порядка доступа и использования данных на объектах информатизации;

- типовой регламент по разграничению прав доступа пользователей к информации;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

- правила работы с обезличенными данными;

- перечень обрабатываемых персональных данных;

- типовое обязательство сотрудника ООО «Бусидо», непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

- типовая форма согласия на обработку персональных данных сотрудника ООО «Бусидо», иных субъектов персональных данных;

- порядок доступа служащих государственного органа в помещения, в которых ведется обработка персональных данных;

- план внутренних проверок режима защиты персональных данных;

- политика информационной безопасности;

- положение об организации работы с персональными данными;

- список должностей оператора, допущенных к обработке ПДн;

- уведомление субъекта персональных данных о начале обработки его персональных данных, полученных от третьего лица;

- перечень должностей сотрудников ООО «Бусидо», ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

- перечень должностей сотрудников ООО «Бусидо», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

Раздел 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

6.1. Настоящая Политика является внутренним документом Оператора.

6.2. Во исполнение ч. 2 ст. 18.1. Закона настоящая Политика должна быть доведена до сотрудников ООО «Бусидо» или неограниченный доступ к ней должен быть обеспечен иным образом.

6.3. Оператор оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы и преамбулу, а также в наименование). Если иное не предусмотрено распоряжением Руководителя Оператора:

- изменения (изъятия, дополнения и др.) вносятся путем издания новой редакции настоящей Политики;

- новая редакция Политики вступает в силу со дня ее утверждения;

- предыдущая редакция Политики утрачивает силу с момента утверждения новой редакции.

6.4. Иные локальные нормативные акты Оператора должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.

Раздел 7. КОНТАКТНАЯ ИНФОРМАЦИЯ

Ответственный за организацию обработки и обеспечение безопасности персональных данных в ООО «Бусидо» - Генеральный директор Зайцев Виктор Викторович, телефон: (8202) 25-34-44, электронная почта: victorzz@banzaycom.ru

Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов персональных данных.

Территориальный орган Роскомнадзора по Москве и Московской области:

Почтовый адрес:

Старокаширское шоссе, д. 2, корп. 10, ГСП -7, Москва, 117997Телефон: (495) 957-80-20

Электронная почта: rsockanc77@rkn.gov.ru