Политика «Обработки персональных данных в ООО «МДТЗК»1. Информация о документе
2. Ответственность и область применения Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:
3. Определения терминов и сокращений 3.1. Определения терминов и сокращений
3.2. Теги к документу
4. Общие положения 4.1. Деятельность Общества с ограниченной ответственностью «Московская дирекция театрально-концертных и спортивно-зрелищных касс» (далее по тексту – ООО «МДТЗК», Оператор) в соответствии с настоящей Политикой «Обработка персональных данных в ООО «МДТЗК» (далее по тексту – Политика), прежде всего, преследует своей целью обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе, защиту прав на неприкосновенность частной жизни, личную и семейную тайну. 4.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее по тексту – Закон №152-ФЗ), а также иными подзаконными нормативно-правовыми актами в сфере персональных данных. 4.3. Положения Политики действуют в отношении всех ПДн, обрабатываемых Оператором, и являются основой для организации работы по обработке ПДн в ООО «МДТЗК», в том числе, для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в ООО «МДТЗК». Политика распространяет свое действие на обрабатываемые Оператором ПДн, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки ПДн в ООО «МДТЗК» регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки ПДн. 4.4. Настоящая Политика распространяется на все процессы ООО «МДТЗК», связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками ООО «МДТЗК», осуществляющими обработку ПДн в силу своих должностных обязанностей. 4.5. В соответствии с пунктом 2 части 2 статьи 1 Закона №152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой. 4.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ. Если международным договором РФ установлены иные правила чем те, которые предусмотрены Законом №152-ФЗ, то ООО «МДТЗК» применяет правила международного договора. 5. Принципы обработки персональных данных 5.1. Обработка ПДн в ООО «МДТЗК» осуществляется на основе следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
6. Понятие, состав и категории ПДН
6.1. В рамках настоящей Политики под ПДн понимается любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
6.2. ООО «МДТЗК» в рамках своей деятельности вправе осуществлять обработку специальных категорий ПДн, включая сведения о судимости, только в случаях, прямо предусмотренных действующим законодательством Российской Федерации в сфере ПДн и (или) при наличии правовых оснований. 6.3. ООО «МДТЗК» в рамках своей деятельности вправе осуществлять обработку биометрических ПДн для установления личности субъекта ПДн, только при наличии его письменного согласия, за исключением случаев обработки биометрических ПДн, предусмотренных частью 2 статьи 11 Закона №152-ФЗ. Форма и порядок получения письменного согласия должен соответствовать требованиям части 4 статьи 9 Закона №152-ФЗ. 6.4. ООО «МДТЗК» в рамках своей деятельности вправе осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, в форме и порядке, предусмотренном положениями статьи 10.1 Закона № 152-ФЗ, с учетом установленных субъектом ПДн запретов и ограничений.
6.5. ООО «МДТЗК» осуществляет обработку ПДн следующих категорий субъектов персональных данных:
7. Источники получения персональных данных 7.1. Получение ПДн в ООО «МДТЗК» организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн. 7.2. Обрабатываемые ООО «МДТЗК» персональные данные могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, являющихся контрагентами ООО «МДТЗК». 7.3. При получении ПДн непосредственно от субъекта ПДн, ООО «МДТЗК» обязуется обеспечить наличие правовых оснований, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных. В случаях, когда правовым основанием обработки ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, однако такое согласие должно отвечать требованиям конкретности, информированности и сознательности. В случаях, прямо предусмотренных федеральным законом обработка персональных данных допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения, которого должны соответствовать требованиям части 4 статьи 9 Закона №152-ФЗ. 7.4. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
7.5. При получении ПДн не от субъекта ПДн, ООО «МДТЗК», до начала обработки таких ПДн, обязуется предоставить субъекту ПДн следующую информацию:
7.6. ООО «МДТЗК» освобождается от обязанности информирования субъекта ПДн о получении ПДн от третьих лиц, в следующих случаях:
7.7. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должны осуществляться в ООО «МДТЗК» с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом №152-ФЗ. 8. Способы обработки персональных данных 8.1. Обработка ПДн в ООО «МДТЗК» может осуществляться как с использованием, так и без использования средств автоматизации, в том числе путем осуществления следующих действий - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
8.2. Автоматизированная обработка ПДн должна осуществляться в ИСПДн ООО «МДТЗК» в строгом соответствии с настоящей Политикой.
8.3. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.
8.4. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), необходимо выполнять следующие условия:
8.5. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО «МДТЗК» и другие лица, осуществляющие обработку ПДн по поручению ООО «МДТЗК»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «МДТЗК» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также нормативными документами ООО «МДТЗК». 8.6. При сохранении ПДн на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель. 8.7. ООО «МДТЗК» вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн. 8.8. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. ООО «МДТЗК» обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях. 9. Цели обработки персональных данных 9.1. ООО «МДТЗК» является Оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
9.2. Обработка ПДн субъектов ПДн осуществляется в ООО «МДТЗК» в следующих целях:
10. Конфиденциальность персональных данных 10.1. ООО «МДТЗК» в процессе своей деятельности обязано обеспечивать конфиденциальность обрабатываемых ПДн, в частности ООО «МДТЗК» обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством РФ. 11. Передача и поручение обработки персональных данных
11.1. Обработка ПДн в ООО «МДТЗК» может осуществляться:
11.2. Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с ООО «МДТЗК», в котором содержится поручение на обработку ПДн с согласия субъекта ПДн, если иное не предусмотрено Законом №152-ФЗ. В поручении должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона №152-ФЗ.
11.3. При передаче ПДн третьей стороне должны выполняться следующие условия:
11.4. ООО «МДТЗК» в процессе своей деятельности вправе осуществлять трансграничную передачу ПДн. Трансграничная передача ПДн на территорию иностранных государств может осуществляться ООО «МДТЗК» в соответствии с положениями статьи 12 Закона №152-ФЗ. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться со стороны ООО «МДТЗК» в следующих случаях:
11.5. В целях информационного обеспечения в ООО «МДТЗК» могут создаваться общедоступные источники данных (в том числе специализированные справочники, телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц. Сведения о субъекте ПДн могут быть в любое время исключены ООО «МДТЗК» из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. 12. Особенности обработки ПДН, разрешенных субъектом ПДН для распространения 12.1 ООО «МДТЗК» в рамках своей деятельности может осуществлять распространение ПДн субъектов ПДн, только при наличии соответствующего согласия субъекта ПДн и в строгом соответствии с требованиями статьи 10.1 Закона №152-ФЗ. 12.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта ПДн на обработку его ПДн. ООО «МДТЗК» обязуется обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения. 12.3. Форма и содержание согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов ПДн в отношении такого согласия. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения. 12.4. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. 12.5. ООО «МДТЗК» обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения. 12.6. ООО «МДТЗК» обязуется прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в случае поступления от субъекта ПДн соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. 13. Права и обязанности субъекта персональных данных
13.1. Субъект ПДн имеет право:
13.2. Для реализации своего права на получение информации, касающейся обработки его ПДн, субъект ПДн, или его представитель, должен обратиться в ООО «МДТЗК», по реквизитам, указанным в разделе 18 настоящей Политики, с письменным заявлением, которое должно содержать:
13.3. В рамках реализации права на отзыв своего согласия на обработку ПДн, субъект ПДн вправе обратиться в адрес ООО «МДТЗК» с заявлением об отзыве ранее данного согласия на обработку ПДн. Вместе с тем, ООО «МДТЗК» оставляет за собой право продолжить обработку ПДн без согласия на обработку ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона №152-ФЗ. 13.4. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять ООО «МДТЗК» информацию об изменении своих ПДн. 14. Сроки обработки (хранения) ПДН 14.1. Порядок хранения ПДн, обрабатываемых в ООО «МДТЗК», определяется нормативными документами ООО «МДТЗК» в соответствии с положениями Закона №152-ФЗ. 14.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами ООО «МДТЗК». 14.3. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами ООО «МДТЗК». Хранение ПДн после истечения срока хранения допускается только после их обезличивания. 15. Актуализация, исправление, удаление и уничтожение ПДН. Порядок рассмотрения запросов субъектов ПДН 15.1. В случаях, прямо предусмотренных статьей 14 Закона №152-ФЗ, ООО «МДТЗК» сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя. 15.2. В рамках реализации требований Закона №152-ФЗ, ООО «МДТЗК» на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ООО «МДТЗК» вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «МДТЗК» уничтожает такие ПДн. При этом ООО «МДТЗК» обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы. 15.3. В случае подтверждения факта неточности ПДн, ООО «МДТЗК» на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
15.4. ООО «МДТЗК» также прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:
16. Обеспечение безопасности ПДН при их обработке 16.1. При обработке ПДн ООО «МДТЗК» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 16.2. Обеспечение безопасности ПДн осуществляется в рамках установления в ООО «МДТЗК» режима безопасности информации конфиденциального характера.
16.3. Обеспечение безопасности ПДн, в частности, достигается:
16.4. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности. 16.5. Уровни защищенности ПДн при их обработке в ИСПДн ООО «МДТЗК», требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от актуальных угроз безопасности ПДн с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства РФ, подзаконных нормативных правовых актов ФСТЭК, ФСБ и Минцифры России, а также договорами между ООО «МДТЗК», операторами ПДн и субъектами ПДн. 16.6. Обеспечение безопасности ПДн при трансграничной обработке ПДн осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности ПДн, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются ПДн. 16.7. Использование и хранение биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения. 16.8. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями подзаконных нормативных правовых актов РФ и нормативными документами ООО «МДТЗК» по работе с материальными носителями информации. 17. Ответственность за нарушение норм, регулирующих обработку ПДН 17.1 ООО «МДТЗК» и/или работники ООО «МДТЗК», виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут ответственность, предусмотренную законодательством РФ. 17.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством РФ. 18. Заключительные положения 18.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте ООО «МДТЗК» по адресам: www.ticketland.ru и ponominalu.ru. 18.2. Настоящая Политика подлежит пересмотру в соответствии с нормативными документами ООО «МДТЗК». 18.3. Субъекты ПДн, чьи ПДн обрабатываются ООО «МДТЗК», могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 123056, Россия, г.Москва, ул.2-Брестская, д.43, или в электронной форме по адресу: secretary@ticketland.ru. 19. Нормативные ссылки Внешние документы:
|
|