Регламент по обработке персональных данных ООО «КРОСС МЕДИА»
1. Общие положения.
1.1. Настоящий Регламент разработан в соответствии с требованиями Федерального Закона «О персональных данных» № 152-ФЗ.
1.2. Настоящим Регламентом определяется порядок обращения с персональными данными Субъектов в компании ООО «КРОСС МЕДИА» (далее «Компания»).
1.3. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании и субъектов персональных данных в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.4. Персональные данные - любая информация, относящаяся к конкретному Субъекту персональных данных и необходимая Компании.
1.5. Субъектами персональных данных (Далее «Субъект»), обрабатываемых Компанией, являются:
кандидаты на вакантные должности;
работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
лица, входящие в органы управления Компании и не являющимися работниками;
физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
представители юридических лиц – контрагентов Компании;
участники бонусных программ лояльности;
клиенты – потребители, в т.ч. пользователи сайтов, принадлежащих Компании
(crossmd.ru) (далее – «Сайт») в том числе с целью оформления заказа на Сайте;
физические лица, данные которых обрабатываются в интересах третьих лиц – операторов данных на основании договора (поручения операторов данных).
1.6. Сведения о персональных данных Субъектов относятся к числу конфиденциальных
(составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.
2. Основные понятия. Состав персональных данных Субъектов.
2.1. Для целей настоящего Регламента используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обработка персональных данных субъекта - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных
данных Субъекта неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152- ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных Субъекта определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных Субъектов (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных Субъекта и (или) в результате которых уничтожаются материальные носители персональных данных Субъектов (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152- ФЗ);
информация - сведения (сообщения, данные) независимые от формы их представления;
документированная информация - зафиксированная на материальном носителе путем;
документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Обработка персональных данных Субъектов.
3.1. Источником информации обо всех персональных данных Субъектов является непосредственно Субъект. Если персональные данные возможно получить только у третьей стороны, то Компания должна быть заранее в письменной форме уведомлена об этом.
3.2. Компания не имеет права получать и обрабатывать персональные данные Субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни Субъекта только с его письменного согласия.
3.3. Особенности обработки и защиты данных, собираемых Компанией с помощью сети Интернет:
3.3.1. Компания обрабатывает и защищает данные, поступающие от пользователей Cайта, а также поступающие на адреса корпоративной почты Компании, заканчивающиеся на _____@crossmd.ru.
Существуют два основных способа, с помощью которых Компания получает данные с помощью сети Интернет:
- Предоставление данных Субъектом.
- Предоставление данных (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) Субъектами путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Компании.
- Автоматически собираемая информация.
Компания может собирать и обрабатывать сведения, не являющимися персональными данными: информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией с целью предоставления актуальной информации Субъектам при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом;
обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.
Компания автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте и т. п. Речь идет о технологиях и сервисах, таких как веб-протоколы, куки, веб-отметки, а также приложения и инструменты указанной третьей стороны.
3.4. Обработка персональных данных Субъектов возможна только с их согласия, либо без их согласия в следующих случаях:
- персональные данные Субъекта являются общедоступными;
- персональные данные относятся к состоянию здоровья Субъектов, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта невозможно;
- по требованию полномочных государственных органов (в случаях, предусмотренных Федеральным Законом).
3.5. Компания вправе обрабатывать персональные данные Субъектов только с их письменного согласия.
3.6. Согласие Субъекта не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Федерального Закона,
- устанавливающего ее цель, условия получения персональных данных и круг Субъектов,
- персональные данные которых подлежат обработке, а также определенного полномочия Компании;
- обработка персональных данных в целях исполнения договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение его согласия невозможно.
3.7. Субъект представляет Компании достоверные сведения о себе.
3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных Субъекта должны выполнять следующие общие требования:
3.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.8.2. При определении объема и содержания обрабатываемых персональных данных Компания должна руководствоваться Конституцией РФ и иными Федеральными Законами.
3.8.3. При принятии решений, затрагивающих интересы Субъекта, Компания не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.8.4. Защита персональных данных Субъекта от неправомерного их использования, утраты обеспечивается Компанией за счет ее средств в порядке, установленном Федеральным Законом.
3.8.5. Во всех случаях отказ Субъекта от своих прав на сохранение и защиту тайны недействителен.
4. Передача персональных данных.
4.1. При передаче персональных данных клиента Компания должна соблюдать следующие требования:
4.1.1. Не сообщать персональные данные третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных Федеральным Законом.
4.1.2. Предупредить лиц, получивших персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные Субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данный Регламент не распространяется на обмен персональными данными субъектов в порядке, установленном Федеральными Законами.
4.1.3. Осуществлять передачу персональных данных Субъектов в пределах Компании в соответствии с настоящим Регламентом.
4.1.4. Разрешать доступ к персональным данным Субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.5. Не запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом своих обязанностей.
4.1.6. Передавать персональные данные Субъекта его законным, полномочным представителям в порядке, установленном Законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные Субъектов обрабатываются и хранятся по адресу местонахождения Компании.
4.3. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
5. Доступ к персональным данным Субъектов, условия хранения персональных данных
5.1. Право доступа к персональным данным Субъектов имеют:
- руководитель Компании;
- работники отдела кадров;
- работники бухгалтерии;
- руководители структурных подразделений по направлению деятельности;
- работники отдела маркетинга.
5.2. Хранение персональных данных Субъектов осуществляется на электронных, а так же, при необходимости, на бумажных носителях.
5.3. Помещения, в которых хранятся персональные данные Субъектов, оборудуются запирающими устройствами. Доступ к ЭВМ, на которых осуществляется обработка персональных данных, находится под защитой паролей.
5.4. Субъект имеет право:
5.4.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
5.4.2. Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Компании персональных данных.
5.4.3. Получать от Компании:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для Субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.4.4. Обжаловать в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
5.4.5. Копировать и делать выписки персональных данных Субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.
6. Ответственность за нарушение норм, регулирующих обработку персональных данных.
6.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с действующим законодательством Российской Федерации.
6.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ.
7. Заключительные положения.
7.1. Настоящий Регламент является общедоступным документом, с содержанием которого вправе ознакомиться Субъекты, вступающие в договорные отношения с ООО «КРОСС МЕДИА», а также Субъекты, отправляющие свои персональные данные через Сайт.
7.2. Подписываясь в ознакомлении с настоящим Регламентом, Субъекты обязуются соблюдать требования и условия, содержащиеся в настоящем Регламенте, а так же обязуются не использовать полученную в рамках выполнения своей трудовой функции персональные данные других Субъектов в целях, не предусмотренных настоящим Регламентом.
7.3. Изменения и дополнения к настоящему Регламенту, не противоречащие Регламенту и действующему законодательству, могут быть приняты по инициативе единоличного исполнительного органа ООО «КРОСС МЕДИА». Содержание изменений и дополнений к настоящему Регламенту должны быть оформлены в письменном виде.