политика обработки персональных данных
РАЗДЕЛ 1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая Политика в отношении обработки персональных данных в АО «МАТЧИНГ ГЭЛЭКСИ» (далее – «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяет принципы, порядок и условия обработки персональных данных работников АО «МАТЧИНГ ГЭЛЭКСИ» ОГРН 1217800136300, ИНН 7813656641, юридический адрес: 197022, г. Санкт-Петербург, наб. Реки Карповки, д. 5, корп. 22, литера А, помещение 13н, офис №25 (далее – «Общество») и иных лиц, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Политика действует в отношении всех персональных данных, которые обрабатывает Общество и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики

1.3. Основные понятия, используемые в настоящей Политике:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя следующие способы: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
РАЗДЕЛ 2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. При организации и осуществлении обработки персональных данных Общество руководствуется требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и принятыми в соответствии с ним нормативными правовыми актами (далее – «законодательство РФ по вопросам обработки персональных данных»):

  • Конституцией Российской Федерации;
  • Налоговым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Федеральным законом от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральным законом от 22.04.1996 г. № 39-ФЗ «О рынке ценных бумаг»;
  • Федеральным законом от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
  • Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральным законом от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
  • Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»;
  • Уставом АО «МАТЧИНГ ГЭЛЭКСИ», а также на основании: согласий соискателей на замещение вакантных должностей на обработку персональных данных, согласий работников на обработку персональных данных, согласий физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с Обществом (контрагентов) на обработку персональных данных, согласий иных субъектов персональных данных (в том числе посетителей Общества, пользователей сайта, договоров, стороной которых являются субъекты персональных данных, в том числе в случае реализации Обществом своего права.
  • иными нормативными правовыми актами, регулирующими отношения, связанные с деятельностью оператора.

2.2. Общество считает важнейшими задачами неукоснительное соблюдение законодательства РФ по вопросам обработки персональных данных в бизнес-процессах Общества и обеспечение надлежащего уровня защиты обрабатываемых в Обществе персональных данных от несанкционированного доступа.

2.3. Руководство Общества осознает важность и необходимость постоянного совершенствования системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Общества.

2.4. Каждый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по вопросам обработки персональных данных, с настоящей Политикой и другими локальными нормативными актами Общества по вопросам обработки и обеспечения защиты персональных данных и обязуется их соблюдать.

2.5. Настоящая Политика Общества является общедоступной и подлежит размещению на официальном сайте Общества – https://mgalaxy.pro.
РАЗДЕЛ 3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. СОДЕРЖАНИЕ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Перечень персональных данных, подлежащих защите в Обществе, формируется в соответствии с Законом о персональных данных.

3.2. Сведениями, составляющими персональные данные, в Обществе является любая информация, любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

3.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • персональные данные работника Общества, лица, поступающего на работу в Общество — информация, необходимая Обществу в связи с трудовыми отношениями и касающиеся конкретного работника;

  • персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Обществу — информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества в соответствии с требованиями федеральных законов и иных нормативных правовых актов;

  • персональные данные физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с Обществом (в том числе индивидуального предпринимателя, руководителя, участника (акционера), представителя или сотрудника юридического лица) (контрагентов) или потенциальных контрагентов — информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;

  • персональные данные посетителей Общества;

3.4. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий:

- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения;
- место рождения;
- пол, гражданство;
- адрес;
- семейное положение;
- образование, профессия;
- сведения о смене фамилии, имени, отчества, пола;
- биометрические персональные данные: изображение лица;
- копии с документов, копия удостоверения личности, данные документов, удостоверяющих личность в соответствии с законом РФ (серия, номер, дата выдачи, наименование организации, выдавшей документ), гражданство и налоговое резидентство;
- данные миграционной карты или документа, подтверждающего право иностранных граждан или лица без гражданства на пребывание (проживание) в РФ;
- адрес (места регистрационной постановки на учет по месту пребывания и фактического места жительства) и дата регистрации по месту жительства или по месту пребывания;
- сведения о лицах, ранее имевших трудовые отношения с Обществом в соответствии с законом РФ;
- сведения, содержащиеся в исполнительных листах;
- данные свидетельства о смерти;
- номер телефона;
- адрес электронной почты;
- сведения об образовании, квалификации, наличии специальных знаний или специальной подготовки, о повышении квалификации, специальной переподготовке;
- о трудовой деятельности (наименование. должности, подразделение, организация и ее наименование, ИНН, адреса и телефоны, иные представленные субъектом сведения);
- сведения о месте работы, ИНН, иностранный идентификатор налогоплательщика (TIN);
- сведения о номере, серии и дате выдачи трудовой книжки и записях в ней, сведения о трудовом стаже;
- содержание и реквизиты трудового договора с работником Общества или гражданско-правовой договор с гражданином;
- сведения, необходимые, для исполнения трудового договора о перечислении заработной платы (номер банковского счета, фамилия, имя, отчество получателя);
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования (страховом номере индивидуального лицевого счета, указанного в страховом свидетельстве обязательного пенсионного страхования);
- сведения, указанные в оригиналах и копиях приказов по работникам Общества и материалах к ним;
- сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях работников Общества;
- материалы по аттестации и оценке работников Общества;
- сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющимся основанием для предоставления льгот и статуса);
- сведения о листках нетрудоспособности работников Банка;
- данные свидетельства о рождении;
- данные о посетителях сайта Общества, оставляемые ими в форме для обратной связи, а именно: имя посетителя, адрес электронной почты посетителя, номер телефона посетителя.

3.5. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Обработка персональных данных допускается в следующих случаях:

  • Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

  • Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  • Обработка персональных данных необходима для защиты, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

  • Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  • Обработка персональных данных необходима для осуществления проф. деятельности журналиста и (или) законной деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

  • Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных, при условии обязательного обезличивания персональных данных;

  • Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее персональные данные, сделанные общедоступными субъектом персональных данных);

  • Осуществляется обработка персональных данных, подлежащих раскрытию в соответствии с законодательством Российской Федерации.
РАЗДЕЛ 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретным бизнес-процессом оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

4.2. Общество осуществляет обработку персональных данных в следующих целях:

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;

- организации кадрового учета соискателей, лиц, поступающих на работу в Общество, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;

- организации кадрового учета работников Общества, заключение и (или) исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, содействие работникам в обучении, поддержание корпоративной культуры, коммуникаций между работниками, пользование различного вида льготами в соответствии с законодательством Российской Федерации;

- исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности, ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и внутренними нормативными документами Общества;

- оказания технической поддержки пользователям программных продуктов, разработанных АО «МАТЧИНГ ГЭЛЭКСИ», в том числе лицензиату, сублицензиатам в рамках предоставления таких программных продуктов по лицензионным договорам;

- оказания технической поддержки посетителя сайта АО «МАТЧИНГ ГЭЛЭКСИ», предоставления обратной связи по их обращениям;

- устранения технических неполадок в порядке работы и функционирования программных продуктов АО «МАТЧИНГ ГЭЛЭКСИ»;

- формирование и предоставление отчетности регулирующим органам в соответствии с требованиями законодательства Российской Федерации.

РАЗДЕЛ 5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


5.1. Оператор осуществляет обработку персональных данных-операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.


5.2. Обработка персональных данных Обществом осуществляется на основе принципов:


- законности и справедливости целей и способов обработки персональных данных;


- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;


- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;


- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;


- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;


- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;


- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.


5.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.


Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.


Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.


5.4. При обработке персональных данных в Обществе обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных.


Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:


  • определяет угрозы безопасности персональных данных при их обработке;

  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

  • создает необходимые условия для работы с персональными данными;

  • организует учет документов, содержащих персональные данные;

  • организует работу с информационными системами, в которых обрабатываются персональные данные;

  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

  • организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.5. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.


При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».


Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).


Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.


5.6. Общество в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению защиты персональных данных при их обработке.


5.7. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.


Посетители, контрагенты, потенциальные контрагенты и их сотрудники дают Обществу конклюдентное согласие на обработку их персональных данных при условии, что передаваемые Обществу персональные данные не относятся к категории специальных. Перечень случаев, в которых предусматривается конклюдентное согласие, приведен в Приложении № 1 к настоящей Политике.


5.8. В соответствии с п. п. 2 - 11 ч. 1 ст. 6, Закона о персональных данных обработка персональных данных может осуществляться без согласия субъекта персональных данных. В Обществе к таким ситуациям относятся те, которые перечислены в Приложении № 2 к настоящей Политике.


5.9. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.


Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, с учетом требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденных Приказом Роскомнадзора от 24.02.2021 N 18.


Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О защите персональных данных».


Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.


5.10. Контрагент, потенциальный контрагент, соискатель на вакансию Общества может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора, одной из сторон по которому является Общество, а субъект является либо другой стороной по договору.


5.11. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Порядок получения согласия от соискателя зависит от установленного оператором формата общения с ним и регламентируется отдельным локальным актом Общества.


5.12. Общество в ходе своей деятельности не осуществляет передачу персональных данных на территории иностранных государств.


5.13. Общество собирает персональные данные сублицензиатов (пользователей) разработанных АО «МАТЧИНГ ГЭЛЭКСИ» приложений, программных комплексов, сайтов, а также иной продукции, путем получения таких данных от лицензиата и (или) контрагента на основании согласия сублицензиатов (пользователей) об обработке из ПДн.


Фактическим основанием для передачи персональных данных сублицензиатов (пользователей) в адрес Общества является наличие запроса пользователя на техническую поддержку по эксплуатации продуктов, разрабатываемых АО «МАЧТИНГ ГЭЛЭКСИ».


Дополнительного согласия от таких сублицензиатов (пользователей) в адрес АО «МАТЧИНГ ГЭЛЭКСИ» не требуется в связи с тем, что такое согласие уже было получено от лицензиата.


5.14. Меры для защиты персональных данных:


Для защиты персональных данных при их обработке в Обществе применяются следующие организационные и технические меры:


- доступ к персональным данным предоставляется только тем сотрудникам, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;


- обработка персональных данных ведется сотрудниками на рабочих местах, выделенных для исполнения ими должностных обязанностей;


- рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;


- конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в Обществе порядком в сроки, установленные законодательством РФ;



- проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;


- разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;


- проводится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами Общества по вопросам обработки персональных данных;


- своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;


- проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам Общества.

РАЗДЕЛ 6. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


6.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ.


6.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ».

РАЗДЕЛ 7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ


7.1. Общество как оператор персональных данных, вправе:


  • отстаивать свои интересы в суде
  • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
  • отказывать в предоставлении персональных данных, в случаях, предусмотренных законодательством;
  • использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

7.2. Общество, как оператор персональных данных, обязано:


  • обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2,3,4,8 части 1 статьи 6 Федерального закона «О персональных данных», при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет»;

  • предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;

  • по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные и уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;

  • вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;

  • уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных, за исключением следующих случаев:

  1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
  2. персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
  3. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  4. при осуществлении обработки персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

  • в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 (тридцати дней) с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;

  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати дней) с даты поступления указанного отзыва, если иное не предусмотрено иными соглашениями между Обществом и субъектом персональных данных или действующим законодательством.

Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:


  • в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;

  • в случае достижения цели обработки персональных данных уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператор) т и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7.3. Субъект персональных данных имеет право:


  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.4. Субъект персональных данных обязан:


  • своевременно и точно предоставлять персональные данные, необходимые Обществу для исполнения обязательств перед субъектом персональных данных;
  • уведомлять Общество об изменении сведений, содержащих персональные данные: фамилия, имя, отчество, адрес проживания или регистрации по месту пребывания, абонентский номер, паспортные данные, сведения об образовании, семейном положении, состоянии здоровья (при выявлении противопоказаний для выполнения служебных обязанностей (работы), обусловленных трудовым договором с Обществом в течение 3 (трех дней)).

РАЗДЕЛ 8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК ОТВЕТОВ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ


8.1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в п. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления, запрашиваемой информации.


8.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.


8.3. Запрос должен содержать:


- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;


- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;


- подпись субъекта персональных данных или его представителя.


8.4. Запрос может быть направлен на адрес местонахождения Общества или в форме электронного документа и подписан усиленной квалифицированной электронной подписью субъекта персональной данных. Направление такого запроса осуществляется по адресу электронной почты Общества: hr@mgalaxy.pro.


8.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.


8.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.


8.7. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.


8.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.


При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:


  • в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

  • в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

8.9. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:


  • иное не предусмотрено договором, стороной которого является субъект персональных данных или соглашением между Обществом и субъектом персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

Условия и сроки уничтожения персональных данных Оператором:


  • достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
  • достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
  • предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
  • отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора Общества с обязательным составлением акта.


8.10. Согласие на обработку персональных данных может быть отозвано субъектом или его представителем в любой момент при условии, что подобная процедура не нарушает требований законодательства РФ, путем направления заявления на адрес местонахождения Общества или адрес электронной почты оператора: hr@mgalaxy.pro. Такое заявление должно быть подписанное собственноручной подписью субъекта персональных данных и (или) его представителя или усиленной квалифицированной подписью субъекта персональных данных и (или) его представителя. В случае направления заявления представителем, он должен приложить документы, подтверждающие его полномочия на выполнение указанных действий.


8.11. Конкретный порядок уничтожения персональных данных на носителях, содержащих персональные данные, в том числе внешних/съемных электронных носителях, бумажных носителях и в информационных системах персональных данных, определяются Обществом в своих внутренних документах и локальных нормативных актах. Такие документы и локальные нормативные акты могут быть предоставлены для ознакомления субъекту персональных данных по его письменному мотивированному запросу, направленному на адрес местонахождения Общества или адрес электронной почты: hr@mgalaxy.pro. Запрос должен быть подписан собственноручной электронной подписью или усиленной квалифицированной электронной подписью. Документы и локальные нормативные акты предоставляются Обществом в течение 15 (пятнадцати рабочих дней) со дня, следующего за днем получения запроса.


8.12. В случае отзыва субъектом персональных данных согласие на обработку его персональных данных Общество вправе продолжить обработку персональных данных без такого согласия при наличии оснований, указанных в пп. 2-11 п. 1 ст. 6, п. 2 ст. 10, п. 2 ст. 11 Закона о персональных данных.

РАЗДЕЛ 9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ


9.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в два года.


9.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение защиты персональных данных Общества.


9.3. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.


9.4. Общество, как оператор обработки персональных данных, несет предусмотренную законодательством Российской Федерации ответственность за нарушение требований действующего законодательства в области обработки персональных данных.

ПЕРЕЧЕНЬ СЛУЧАЕВ, В КОТОРЫХ ПРЕДУСМАТРИВАЕТСЯ КОНКЛЮДЕНТНОЕ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ


Действие со стороны субъекта: Посещение сайта Общества


Цели обработки: Предоставление обратной связи по запросам, обращений субъектов персональных данных


Состав персональных данных: Общие персональные данные: имя, адрес электронной почты, номер мобильного телефона

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, НЕ ТРЕБУЮЩАЯ СОГЛАСИЯ СУБЪЕКТА НА ОБРАБОТКУ В СЛУЧАЯХ, ПРЕДУСМОТРЕННЫХ ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ