Политика обработки персональных данных

1. Общие положения

1.1. Назначение документа

Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона №152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее – ПДн), а также устанавливает ответственность ООО «СПОРТКОНЦЕПТ» (далее – Компания) и ее должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников Компании и иных субъектов, чьи ПДн обрабатываются Компанией.

В настоящей Политике содержатся положения об ответственности Компании и ее работников в случае выявления нарушений обработки ПДн законодательству Российской Федерации.

Настоящая Политика является общедоступным документом и может быть предъявлена по требованиям субъектов, направленным в адрес Компании.

1.2. Область действия документа

Действие настоящей Политики не распространяется на отношения, возникающие при:

• организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов, в соответствии с законодательством об архивном деле в Российской Федерации;
• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положениями настоящей Политики руководствуются все работники Компании и иные субъекты ПДн, чьи ПДн обрабатываются Компанией.

2. Принципы обработки персональных данных

Обработка ПДн осуществляется в Компании на основе следующих принципов:

1. Обработка ПДн осуществляется на законной и справедливой основе.
2. Обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей.
3. Компания не обрабатывает ПДн, не совместимые с целями сбора персональных данных.
4. Компания разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой.
5. Компания обрабатывает только ПДн, которые отвечают целям их обработки.
6. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки.
7. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.
8. При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
9. Принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн.
10. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
11. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Цели обработки персональных данных

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании, согласно законодательству Российской Федерации.

4. Категории субъектов и категории обрабатываемых персональных данных

4.1. Категории субъектов персональных данных, обрабатываемых в Компании

Категории субъектов, персональные данные которых обрабатываются в Компании с использованием средств автоматизации или без использования таковых:

1. Представители, работники, учредители контрагентов Компании: индивидуальные предприниматели, имеющие или имевшие договорные отношения с Компанией, либо желающих заключить договоры с Компанией.
2. Субъекты, данные которых обрабатываются в рамках трудовых отношений, представленные:
   1. кандидатами на работу в ООО «СПОРТКОНЦЕПТ»;
   2. работниками ООО «СПОРТКОНЦЕПТ»;
   3. лицами, работающими в ООО «СПОРТКОНЦЕПТ» по договорам ГПХ, ученическим и другим аналогичным договорам;
   4. членами семей работников ООО «СПОРТКОНЦЕПТ» (супруги, дети и близкие родственники);
   5. лицами, имевшими ранее трудовые отношения с ООО «СПОРТКОНЦЕПТ».
3. Покупатели ООО «СПОРТКОНЦЕПТ».
4. Представители (должностные лица) государственных органов и органов местного самоуправления.
5. Посетители сайта ООО «СПОРТКОНЦЕПТ».
6. Иные субъекты персональных данных, которые не вошли в вышеперечисленные категории, и обработка персональных данных которых не противоречит законодательству РФ и необходима ООО «СПОРТКОНЦЕПТ» для осуществления целей обработки персональных данных.

4.2. Категории персональных данных, обрабатываемые в Компании

• ПДн, разрешенные субъектом персональных данных для распространения;
• специальные ПДн;
• ПДн общей категории (иные ПДн), которые не могут быть отнесены ни к специальным категориям персональных данных, ни к биометрическим персональным данным.

5. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности персональных данных

• В Компании назначено лицо, ответственное за организацию обработки ПДн.
• В Компании назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.
• В обработке ПДн Компании участвуют работники в рамках выполнения своих должностных обязанностей.

6. Обработка и обеспечение безопасности персональных данных

6.1. Обработка и порядок прекращения обработки персональных данных

Обработка ПДн в Компании допускается в следующих случаях:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
• обработка ПДн необходима для исполнения договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
• обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
• обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн (за исключением обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации);
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
• обработка ПДн Компанией возможна и в иных случаях, предусмотренных федеральным законодательством.

Включение Компанией ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

Компания осуществляет обработку ПДн, разрешенных субъектом ПДн для распространения, только в случае получения согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, и в соответствии с условиями и запретами, указанными в полученном согласии.

Компания осуществляет сбор (запись, систематизацию, накопление, хранение, уточнение, извлечение) персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Компания не осуществляет трансграничную передачу ПДн работников. В случае если необходимо осуществление трансграничной передачи ПДн работников в целях выполнения ими трудовых обязанностей, требуется письменное согласие работника Компании.

Компания не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.

Компания вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом. В случае если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.

Обработка Компанией ПДн прекращается в следующих случаях:

• достижение целей обработки ПДн;
• истечение срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
• отзыв субъектом ПДн согласия на обработку его ПДн в случаях, не противоречащих требованиям федерального законодательства.

6.2. Сведения о реализуемых требованиях по защите персональных данных

Компания принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:

• для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
• обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
• соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей.

Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:

• определяется уровень защищенности ПДн при их обработке в информационных системах;
• выполняются требования по защите ПДн в информационных системах ПДн в соответствии с определенными уровнями защищенности ПДн;
• применяются необходимые средства защиты информации;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• осуществляется учет машинных носителей ПДн;
• обнаруживаются факты НСД к ПДн и принимаются необходимые меры;
• осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
• устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
• контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн.

7. Права субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки его персональных данных Компанией;
• правовые основания и цели обработки персональных данных;
• сведения о применяемых Компанией способах обработки персональных данных;
• наименования и места нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании законодательства;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченными работниками Компании в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных, однако Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.

По вопросам, связанным с обработкой и защитой ваших персональных данных, вы можете связаться с Компанией, направив:

• запрос по адресу: г. Москва, ул. Автозаводская, д. 21, к. 1

Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

8. Нарушение политики и ответственность

Компания несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству.

Все работники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими в Компании процедурами.

Любые нарушения настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими в Компании процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.