Политика в отношении обработки персональных данных

1. ВВЕДЕНИЕ

1.1. Важнейшим условием реализации целей деятельности Компании с ограниченной ответственностью «ЛИДКОМ ИНВЕСТМЕНТС ЛИМИТЕД» (далее Компания либо Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.

1.2. Политика в отношении обработки персональных данных в Компании (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в Компании, а также сведения о реализуемых требованиях к защите персональных данных.

1.3. Политика разработана в соответствии с действующим законодательством РФ.

 

2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ДАННЫМИ

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Детальный перечень персональных данных фиксируется в локальной нормативной документации Компании.

2.2. Все обрабатываемые Компанией персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.

2.3. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных: сбор; запись; систематизация; накопление; хранение; передача (исключая трансграничную передачу); уточнение (обновление, изменение); использование; уничтожение; обезличивание; блокирование; удаление.

 

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные обрабатываются Компанией в целях оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, по снованиям, предусмотренным ст.22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудовым кодексом РФ, а также в целях организации и проведения Компанией (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий; продвижения услуг и/или товаров Компании и партнеров Компании путем осуществления прямых контактов с клиентами Компании и партнеров Компании, направления клиентам рекламных и информационных материалов с помощью различных средств связи, в т.ч., но не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; в иных целях, если действия Компании не противоречат действующему законодательству.

3.2. Компания в целях надлежащего исполнения своих обязанностей Оператора обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств:

  • персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором;
  • персональные данные физических лиц, состоящих в гражданско-правовых отношениях с Оператором;
  • персональные данные клиентов Компании, участников программ лояльности, маркетинговых и рекламных акций Компании, посетителей торгового центра «Зеленопарк», принадлежащего Компании.

 

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных (далее – «ПДн») осуществляется на основе следующих принципов:

1) обработка ПДн осуществляется на законной и справедливой основе;

2) обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

3) обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

4) не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

5) содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

6) при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;

7) хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

8) обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

5. ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:

1) предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;

2) по требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;

3) вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;

4) уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:

  • субъект ПДн уведомлен об осуществлении обработки Компанией его ПДн;
  • ПДн получены Компанией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн или на основании федерального закона;
  • ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
  • Компания осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;

5) в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами;

6) в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн. Об уничтожении ПДн Компания обязана уведомить субъекта ПДн;

7) в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн.

 

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ

6.1 При обработке ПДн Компания применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

6.2 Обеспечение безопасности ПДн достигается следующими мерами:

1) определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

2) применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

5) учет машинных носителей ПДн;

6) обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

7) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

9) контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

 

7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с ФЗ «О персональных данных» субъект ПДн имеет право:

1) получить сведения, касающиеся обработки ПДн Компанией, а именно:

  • подтверждение факта обработки ПДн Компанией;
  • правовые основания и цели обработки ПДн Компанией;
  • применяемые Компанией способы обработки ПДн;
  • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн Компанией, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

2) потребовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку ПДн в предусмотренных законом случаях.

 

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

8.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Компании.