РАЗДЕЛ 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая Политика в отношении обработки персональных данных в АО «МАТЧИНГ ГЭЛЭКСИ» (далее – «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных",определяет принципы, порядок и условия обработки персональных данных работников АО «МАТЧИНГ ГЭЛЭКСИ» ОГРН 1217800136300, ИНН 7813656641, юридический адрес: 197022, г. Санкт-Петербург, наб. Реки Карповки, д. 5, корп. 22, литера А, помещение 13н, офис №25 (далее – «Общество») и иных лиц, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики
1.3.Основные понятия, используемые в настоящей Политике:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя следующие способы: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики
1.3.Основные понятия, используемые в настоящей Политике:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя следующие способы: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
РАЗДЕЛ 2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. При организации и осуществлении обработки персональных данных Общество руководствуется требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и принятыми в соответствии с ним нормативными правовыми актами (далее – «законодательство РФ по вопросам обработки персональных данных»):
2.2. Общество считает важнейшими задачами неукоснительное соблюдение законодательства РФ по вопросам обработки персональных данных в бизнес-процессах Общества и обеспечение надлежащего уровня защиты обрабатываемых в Обществе персональных данных от несанкционированного доступа.
2.3. Руководство Общества осознает важность и необходимость постоянного совершенствования системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Общества.
2.4. Каждый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по вопросам обработки персональных данных, с настоящей Политикой и другими локальными нормативными актами Общества по вопросам обработки и обеспечения защиты персональных данных и обязуется их соблюдать.
2.5. Настоящая Политика Общества является общедоступной и подлежит размещению на официальном сайте Общества – https://mgalaxy.pro.
- Конституцией Российской Федерации;
- Налоговым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральным законом от 22.04.1996 г. № 39-ФЗ «О рынке ценных бумаг»;
- Федеральным законом от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
- Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральным законом от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
- Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»;
- Уставом АО «МАТЧИНГ ГЭЛЭКСИ», а также на основании: согласий соискателей на замещение вакантных должностей на обработку персональных данных, согласий работников на обработку персональных данных, согласий физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с Обществом (контрагентов) на обработку персональных данных, согласий иных субъектов персональных данных (в том числе посетителей Общества, пользователей сайта, договоров, стороной которых являются субъекты персональных данных, в том числе в случае реализации Обществом своего права.
- иными нормативными правовыми актами, регулирующими отношения, связанные с деятельностью оператора.
2.2. Общество считает важнейшими задачами неукоснительное соблюдение законодательства РФ по вопросам обработки персональных данных в бизнес-процессах Общества и обеспечение надлежащего уровня защиты обрабатываемых в Обществе персональных данных от несанкционированного доступа.
2.3. Руководство Общества осознает важность и необходимость постоянного совершенствования системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Общества.
2.4. Каждый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по вопросам обработки персональных данных, с настоящей Политикой и другими локальными нормативными актами Общества по вопросам обработки и обеспечения защиты персональных данных и обязуется их соблюдать.
2.5. Настоящая Политика Общества является общедоступной и подлежит размещению на официальном сайте Общества – https://mgalaxy.pro.
РАЗДЕЛ 3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. СОДЕРЖАНИЕ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Перечень персональных данных, подлежащих защите в Обществе, формируется в соответствии с Законом о персональных данных.
3.2. Сведениями, составляющими персональные данные, в Обществе является любая информация, любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
3.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.4. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий:
3.5. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Обработка персональных данных допускается в следующих случаях:
-Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
-Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
-Обработка персональных данных необходима для защиты, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
-Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
-Обработка персональных данных необходима для осуществления проф. деятельности журналиста и (или) законной деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
-Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных, при условии обязательного обезличивания персональных данных;
-Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее персональные данные, сделанные общедоступными субъектом персональных данных);
-Осуществляется обработка персональных данных, подлежащих раскрытию в соответствии с законодательством Российской Федерации.
3.2. Сведениями, составляющими персональные данные, в Обществе является любая информация, любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
3.3. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
- Персональные данные работника Общества, лица, поступающего на работу в Общество — информация, необходимая Обществу в связи с трудовыми отношениями и касающиеся конкретного работника;
- Персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Обществу — информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества в соответствии с требованиями федеральных законов и иных нормативных правовых актов;
- Персональные данные физических лиц, состоявших или состоящих в договорных и иных гражданско-правовых отношениях с Обществом (в том числе индивидуального предпринимателя, руководителя, участника (акционера), представителя или сотрудника юридического лица) (контрагентов) или потенциальных контрагентов — информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;
- Персональные данные посетителей Общества;
3.4. В зависимости от субъекта персональных данных, Общество обрабатывает персональные данные следующих категорий:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения;
- место рождения;
- пол, гражданство;
- адрес;
- семейное положение;
- образование, профессия;
- сведения о смене фамилии, имени, отчества, пола;
- биометрические персональные данные: изображение лица;
- копии с документов, копия удостоверения личности, данные документов, удостоверяющих личность в соответствии с законом РФ (серия, номер, дата выдачи, наименование организации, выдавшей документ), гражданство и налоговое резидентство;
- данные миграционной карты или документа, подтверждающего право иностранных граждан или лица без гражданства на пребывание (проживание) в РФ;
- адрес (места регистрационной постановки на учет по месту пребывания и фактического места жительства) и дата регистрации по месту жительства или по месту пребывания;
- сведения о лицах, ранее имевших трудовые отношения с Обществом в соответствии с законом РФ;
- сведения, содержащиеся в исполнительных листах;
- данные свидетельства о смерти;
- номер телефона;
- адрес электронной почты;
- сведения об образовании, квалификации, наличии специальных знаний или специальной подготовки, о повышении квалификации, специальной переподготовке;
- о трудовой деятельности (наименование. должности, подразделение, организация и ее наименование, ИНН, адреса и телефоны, иные представленные субъектом сведения);
- сведения о месте работы, ИНН, иностранный идентификатор налогоплательщика (TIN);
- сведения о номере, серии и дате выдачи трудовой книжки и записях в ней, сведения о трудовом стаже;
- содержание и реквизиты трудового договора с работником Общества или гражданско-правовой договор с гражданином;
- сведения, необходимые, для исполнения трудового договора о перечислении заработной платы (номер банковского счета, фамилия, имя, отчество получателя);
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования (страховом номере индивидуального лицевого счета, указанного в страховом свидетельстве обязательного пенсионного страхования);
- сведения, указанные в оригиналах и копиях приказов по работникам Общества и материалах к ним;
- сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях работников Общества;
- материалы по аттестации и оценке работников Общества;
- сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющимся основанием для предоставления льгот и статуса);
- сведения о листках нетрудоспособности работников Банка;
- данные свидетельства о рождении;
- данные о посетителях сайта Общества, оставляемые ими в форме для обратной связи, а именно: имя посетителя, адрес электронной почты посетителя, номер телефона посетителя.
3.5. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Обработка персональных данных допускается в следующих случаях:
-Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
-Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
-Обработка персональных данных необходима для защиты, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
-Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
-Обработка персональных данных необходима для осуществления проф. деятельности журналиста и (или) законной деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
-Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона «О персональных данных, при условии обязательного обезличивания персональных данных;
-Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее персональные данные, сделанные общедоступными субъектом персональных данных);
-Осуществляется обработка персональных данных, подлежащих раскрытию в соответствии с законодательством Российской Федерации.
РАЗДЕЛ 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретным бизнес-процессом оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных)
4.2. Общество осуществляет обработку персональных данных в следующих целях:
Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретным бизнес-процессом оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных)
4.2. Общество осуществляет обработку персональных данных в следующих целях:
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;
- организации кадрового учета соискателей, лиц, поступающих на работу в Общество, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;
- организации кадрового учета работников Общества, заключение и (или) исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, содействие работникам в обучении, поддержание корпоративной культуры, коммуникаций между работниками, пользование различного вида льготами в соответствии с законодательством Российской Федерации;
- исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности, ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и внутренними нормативными документами Общества;
- оказания технической поддержки пользователям программных продуктов, разработанных АО «МАТЧИНГ ГЭЛЭКСИ», в том числе лицензиату, сублицензиатам в рамках предоставления таких программных продуктов по лицензионным договорам;
- оказания технической поддержки посетителя сайта АО «МАТЧИНГ ГЭЛЭКСИ», предоставления обратной связи по их обращениям;
- устранения технических неполадок в порядке работы и функционирования программных продуктов АО «МАТЧИНГ ГЭЛЭКСИ»;
- формирование и предоставление отчетности регулирующим органам в соответствии с требованиями законодательства Российской Федерации.
РАЗДЕЛ 5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных-операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных Обществом осуществляется на основе принципов:
5.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.4. При обработке персональных данных в Обществе обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных.
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.5. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.6. Общество в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению защиты персональных данных при их обработке.
5.7. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Посетители, контрагенты, потенциальные контрагенты и их сотрудники дают Обществу конклюдентное согласие на обработку их персональных данных при условии, что передаваемые Обществу персональные данные не относятся к категории специальных. Перечень случаев, в которых предусматривается конклюдентное согласие, приведен в Приложении № 1 к настоящей Политике.
5.8. В соответствии с п. п. 2 - 11 ч. 1 ст. 6, Закона о персональных данных обработка персональных данных может осуществляться без согласия субъекта персональных данных. В Обществе к таким ситуациям относятся те, которые перечислены в Приложении № 2 к настоящей Политике.
5.9. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, с учетом требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденных Приказом Роскомнадзора от 24.02.2021 N 18.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О защите персональных данных».
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5.10. Контрагент, потенциальный контрагент, соискатель на вакансию Общества может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора, одной из сторон по которому является Общество, а субъект является либо другой стороной по договору.
5.11. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Порядок получения согласия от соискателя зависит от установленного оператором формата общения с ним и регламентируется отдельным локальным актом Общества.
5.12. Общество в ходе своей деятельности не осуществляет передачу персональных данных на территории иностранных государств.
5.13. Общество собирает персональные данные сублицензиатов (пользователей) разработанных АО «МАТЧИНГ ГЭЛЭКСИ» приложений, программных комплексов, сайтов, а также иной продукции, путем получения таких данных от лицензиата и (или) контрагента на основании согласия сублицензиатов (пользователей) об обработке из ПДн.
Фактическим основанием для передачи персональных данных сублицензиатов (пользователей) в адрес Общества является наличие запроса пользователя на техническую поддержку по эксплуатации продуктов, разрабатываемых АО «МАЧТИНГ ГЭЛЭКСИ».
Дополнительного согласия от таких сублицензиатов (пользователей) в адрес АО «МАТЧИНГ ГЭЛЭКСИ» не требуется в связи с тем, что такое согласие уже было получено от лицензиата.
5.14. Меры для защиты персональных данных:
Для защиты персональных данных при их обработке в Обществе применяются следующие организационные и технические меры:
5.2. Обработка персональных данных Обществом осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
5.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.4. При обработке персональных данных в Обществе обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных.
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.5. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.6. Общество в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению защиты персональных данных при их обработке.
5.7. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Посетители, контрагенты, потенциальные контрагенты и их сотрудники дают Обществу конклюдентное согласие на обработку их персональных данных при условии, что передаваемые Обществу персональные данные не относятся к категории специальных. Перечень случаев, в которых предусматривается конклюдентное согласие, приведен в Приложении № 1 к настоящей Политике.
5.8. В соответствии с п. п. 2 - 11 ч. 1 ст. 6, Закона о персональных данных обработка персональных данных может осуществляться без согласия субъекта персональных данных. В Обществе к таким ситуациям относятся те, которые перечислены в Приложении № 2 к настоящей Политике.
5.9. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, с учетом требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденных Приказом Роскомнадзора от 24.02.2021 N 18.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О защите персональных данных».
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5.10. Контрагент, потенциальный контрагент, соискатель на вакансию Общества может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора, одной из сторон по которому является Общество, а субъект является либо другой стороной по договору.
5.11. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Порядок получения согласия от соискателя зависит от установленного оператором формата общения с ним и регламентируется отдельным локальным актом Общества.
5.12. Общество в ходе своей деятельности не осуществляет передачу персональных данных на территории иностранных государств.
5.13. Общество собирает персональные данные сублицензиатов (пользователей) разработанных АО «МАТЧИНГ ГЭЛЭКСИ» приложений, программных комплексов, сайтов, а также иной продукции, путем получения таких данных от лицензиата и (или) контрагента на основании согласия сублицензиатов (пользователей) об обработке из ПДн.
Фактическим основанием для передачи персональных данных сублицензиатов (пользователей) в адрес Общества является наличие запроса пользователя на техническую поддержку по эксплуатации продуктов, разрабатываемых АО «МАЧТИНГ ГЭЛЭКСИ».
Дополнительного согласия от таких сублицензиатов (пользователей) в адрес АО «МАТЧИНГ ГЭЛЭКСИ» не требуется в связи с тем, что такое согласие уже было получено от лицензиата.
5.14. Меры для защиты персональных данных:
Для защиты персональных данных при их обработке в Обществе применяются следующие организационные и технические меры:
- доступ к персональным данным предоставляется только тем сотрудникам, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
- обработка персональных данных ведется сотрудниками на рабочих местах, выделенных для исполнения ими должностных обязанностей;
- рабочие места размещаются таким образом, чтобы исключить бесконтрольное использование конфиденциальной информации;
- конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в Обществе порядком в сроки, установленные законодательством РФ;
- проводятся процедуры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер; - разграничены права доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- проводится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами Общества по вопросам обработки персональных данных;
- своевременно выявляются и предотвращаются нарушения требований законодательства РФ в области обработки персональных данных, устраняются последствия таких нарушений;
- проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных при их обработке, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным актам Общества.
РАЗДЕЛ 6. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ.
6.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ».
6.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ».