РАЗДЕЛ 5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных-операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных Обществом осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
5.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.4. При обработке персональных данных в Обществе обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных.
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
5.5. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.6. Общество в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению защиты персональных данных при их обработке.
5.7. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.
Посетители, контрагенты, потенциальные контрагенты и их сотрудники дают Обществу конклюдентное согласие на обработку их персональных данных при условии, что передаваемые Обществу персональные данные не относятся к категории специальных. Перечень случаев, в которых предусматривается конклюдентное согласие, приведен в Приложении № 1 к настоящей Политике.
5.8. В соответствии с п. п. 2 - 11 ч. 1 ст. 6, Закона о персональных данных обработка персональных данных может осуществляться без согласия субъекта персональных данных. В Обществе к таким ситуациям относятся те, которые перечислены в Приложении № 2 к настоящей Политике.
5.9. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, с учетом требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденных Приказом Роскомнадзора от 24.02.2021 N 18.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О защите персональных данных».
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5.10. Контрагент, потенциальный контрагент, соискатель на вакансию Общества может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора, одной из сторон по которому является Общество, а субъект является либо другой стороной по договору.
5.11. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Порядок получения согласия от соискателя зависит от установленного оператором формата общения с ним и регламентируется отдельным локальным актом Общества.
5.12. Общество в ходе своей деятельности не осуществляет передачу персональных данных на территории иностранных государств.
5.13. Общество собирает персональные данные сублицензиатов (пользователей) разработанных АО «МАТЧИНГ ГЭЛЭКСИ» приложений, программных комплексов, сайтов, а также иной продукции, путем получения таких данных от лицензиата и (или) контрагента на основании согласия сублицензиатов (пользователей) об обработке из ПДн.
Фактическим основанием для передачи персональных данных сублицензиатов (пользователей) в адрес Общества является наличие запроса пользователя на техническую поддержку по эксплуатации продуктов, разрабатываемых АО «МАЧТИНГ ГЭЛЭКСИ».
Дополнительного согласия от таких сублицензиатов (пользователей) в адрес АО «МАТЧИНГ ГЭЛЭКСИ» не требуется в связи с тем, что такое согласие уже было получено от лицензиата.
5.14. Меры для защиты персональных данных:
Для защиты персональных данных при их обработке в Обществе применяются следующие организационные и технические меры:
- доступ к персональным данным предоставляется только тем сотрудникам, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
- обработка персональных данных ведется сотрудниками на рабочих местах, выделенных для исполнения ими должностных обязанностей;
- рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
- конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в Обществе порядком в сроки, установленные законодательством РФ;
- проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- проводится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами Общества по вопросам обработки персональных данных;
- своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;
- проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам Общества.
РАЗДЕЛ 6. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ.
6.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ».
РАЗДЕЛ 7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общество как оператор персональных данных, вправе:
7.2. Общество, как оператор персональных данных, обязано:
Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
7.3. Субъект персональных данных имеет право:
7.4. Субъект персональных данных обязан:
РАЗДЕЛ 8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК ОТВЕТОВ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в п. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления, запрашиваемой информации.
8.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
8.4. Запрос может быть направлен на адрес местонахождения Общества или в форме электронного документа и подписан усиленной квалифицированной электронной подписью субъекта персональной данных. Направление такого запроса осуществляется по адресу электронной почты Общества: hr@mgalaxy.pro.
8.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.7. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
8.9. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
Условия и сроки уничтожения персональных данных Оператором:
Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора Общества с обязательным составлением акта.
8.10. Согласие на обработку персональных данных может быть отозвано субъектом или его представителем в любой момент при условии, что подобная процедура не нарушает требований законодательства РФ, путем направления заявления на адрес местонахождения Общества или адрес электронной почты оператора: hr@mgalaxy.pro. Такое заявление должно быть подписанное собственноручной подписью субъекта персональных данных и (или) его представителя или усиленной квалифицированной подписью субъекта персональных данных и (или) его представителя. В случае направления заявления представителем, он должен приложить документы, подтверждающие его полномочия на выполнение указанных действий.
8.11. Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах. Такие документы и локальные нормативные акты могут быть предоставлены для ознакомления субъекту персональных данных по его письменному мотивированному запросу, направленному на адрес местонахождения Общества или адрес электронной почты: hr@mgalaxy.pro. Запрос должен быть подписан собственноручной электронной подписью или усиленной квалифицированной электронной подписью. Документы и локальные нормативные акты предоставляются Обществом в течение 15 (пятнадцати рабочих дней) со дня, следующего за днем получения запроса.
8.12. В случае отзыва субъектом персональных данных согласие на обработку его персональных данных Общество вправе продолжить обработку персональных данных без такого согласия при наличии оснований, указанных в пп. 2-11 п. 1 ст. 6, п. 2 ст. 10, п. 2 ст. 11 Закона о персональных данных.
РАЗДЕЛ 9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в два года.
9.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение защиты персональных данных Общества.
9.3. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.
9.4. Общество, как оператор обработки персональных данных, несет предусмотренную законодательством Российской Федерации ответственность за нарушение требований действующего законодательства в области обработки персональных данных.
ПЕРЕЧЕНЬ СЛУЧАЕВ, В КОТОРЫХ ПРЕДУСМАТРИВАЕТСЯ КОНКЛЮДЕНТНОЕ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Действие со стороны субъекта: Посещение сайта Общества
Цели обработки: Предоставление обратной связи по запросам, обращений субъектов персональных данных
Состав персональных данных: Общие персональные данные: имя, адрес электронной почты, номер мобильного телефона