Соглашение об использовании персональных данных и политика конфиденциальности

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее — Политика), принятая ОАО «Кондитерский концерн Бабаевский» (далее — Управляющая ком-пания) разработана в целях реализации требований законодательства в области об-работки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод граждан при обработке персональных данных Управляющей компанией.

1.2. Положения Политики являются основой для организации всех процессов в Управляющей компании, связанных с обработкой и защитой персональных дан-ных.

1.3. Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации, определяющи-ми правила и особенности обработки персональных данных, обеспечения безопас-ности и конфиденциальности такой обработки.

1.4. Политика устанавливает: — цели обработки персональных данных; — общие принципы обработки персональных данных; — классификацию персональных данных и субъектов персональных данных; — права и обязанности субъектов персональных данных и Управляющей компании по их обработке; — порядок организации обработки персональных данных.

1.5. Политика размещена на сайте Управляющей компании в неограниченном до-ступе.

1.6. Действие Политики распространяется на действия, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, переда-ча (распространение, предоставление, доступ), обезличивание, блокирование, уда-ление, уничтожение персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.

2. Основные термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Биометрические персональные данные — сведения, которые характеризуют физио-логические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокирование персональных данных — временное прекращение обработки персо-нальных данных (за исключением случаев, если обработка необходима для уточне-ния персональных данных).

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных систе-мах персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информаци-онных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения Управляющей компанией или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие и распространение без согласия субъ-екта персональных данных или наличия иного законного основания.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), из-влечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограни-ченного круга лиц к которым предоставлен с согласия субъекта персональных дан-ных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обезличивание персональных данных — действия, в результате которых становит-ся невозможным без использования дополнительной информации определить при-надлежность персональных данных конкретному субъекту персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или фи-зическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), включая фамилию, имя, отчество, дату рождения, место регистрации, пас-портные данные, место работы, должность, контактный телефон, адрес электрон-ной почты и др.

Специальные категории персональных данных — персональные данные, касающие-ся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта пер-сональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются матери-альные носители персональных данных.

Cookie — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при по-пытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.

IP-адрес — межсетевой протокол, объединяющий сегменты сети в единую сеть, обеспечивая доставку пакетов данных между любыми узлами сети через произволь-ное число промежуточных узлов.

3. Цели обработки персональных данных

Обработка персональных данных осуществляется в целях: — проведения операций по переводу денежных средств в соответствии с Уставом Управляющей компании и законодательством Российской Федерации; — заключения с субъектом персональных данных договоров и соглашений и их дальнейшего исполнения; — осуществления Управляющей компанией административно-хозяйственной дея-тельности; — формирования статистической отчетности, в том числе для предоставления кон-тролирующим органам государственной власти Российской Федерации; — предоставления субъекту персональных данных информации об оказываемых услугах; — а также для других целей, достижение которых не запрещено законодательством Российской Федерации.

4. Классификация персональных данных и категории субъек-тов, персональные данные которые обрабатываются в Управляющей компанией

4.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту пер-сональных данных), обрабатываемая Управляющей компанией для достижения ука-занных целей.

4.2. Управляющая компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, поли-тических взглядов, религиозных убеждений, состояния здоровья, судимости физи-ческих лиц, если иное не установлено законодательством Российской Федерации.

4.3. Управляющая компания осуществляет обработку персональных данных следу-ющих категорий субъектов персональных данных: — физические лица, являющиеся клиентами Управляющей компании и/или пред-ставляющие интересы юридических лиц, являющихся клиентами Управляющей компании или намеревающимися стать таковыми; — физические лица, приобретающие или намеревающиеся приобрести услуги Управляющей компании; — физические лица, выполняющие работы и оказывающие услуги по заключенным с Управляющей компанией договорам гражданско-правового характера; — физические лица, не относящиеся к клиентам Управляющей компании и представителям клиентов, вступившие или намеревающиеся вступить с Управляющей компанией в договорные отношения в связи с осуществлением Управляющей компанией административно-хозяйственной деятельности; — физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных; — иные физические лица, выразившие согласие на обработку Управляющей ком-панией их персональных данных или обработка персональных данных которых необходима Управляющей компании для выполнения обязанностей, исполнения функций или полномочий, возложенных и/или предусмотренных законодатель-ством Российской Федерации.

5. Основные принципы обработки персональных данных Обработка персональных данных в УК осуществляется на основе следующих прин-ципов: — законности и справедливой основы; — достижения в ходе обработки конкретных, заранее определенных и законных целей; — недопущения обработки персональных данных, несовместимой с целями сбора персональных данных; — недопущения объединения баз данных, содержащих персональные данные, обра-ботка которых осуществляется в целях, несовместимых между собой; — соответствия содержания и объема обрабатываемых персональных данных заяв-ленным целям обработки; — обеспечения точности персональных данных, их достаточности, а в необходимых случаях — актуальности по отношению к целям обработки персо-нальных данных; — хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным за-коном, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Организация обработки персональных данных

6.1. Обработка персональных данных осуществляется с соблюдением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6.2. Управляющая компания осуществляет обработку персональных данных как с использованием средств автоматизации, так и без использования средств автома-тизации.

6.3. Управляющая компания может включать персональные данные субъектов в общедоступные источники персональных данных, при этом управляющая компа-ния берет письменное согласие субъекта на обработку его персональных данных.

6.4. Биометрические персональные данные в Управляющей компанией не обрабатываются.

6.5. Управляющая компания не осуществляет трансграничную передачу персональ-ных данных.

6.6. Принятие на основании исключительно автоматизированной обработки персо-нальных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

6.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персо-нальных данных или его представителем в любой позволяющей установить факт его получения форме.

6.8. Управляющая компания вправе поручить обработку персональных данных дру-гому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Управляющая компания в договоре обязывает лицо, осуществляющее обра-ботку персональных данных по поручению Управляющей компании, соблюдать принципы и правила обработки персональных данных, предусмотренные Феде-ральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6.9. Предоставление доступа органам государственной власти (в том числе, контро-лирующих, надзорных, правоохранительных и иных органов) к персональным дан-ным, обрабатываемым Управляющей компанией, осуществляется в объёме и порядке, установленным законодательством Российской Федерации.

7. Права и обязанности субъекта персональных данных

7.1. Субъект персональных данных имеет право: — получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных дан-ных; — требовать уточнения своих персональных данных, их блокирования или уни-чтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заяв-ленной цели обработки или используются в целях, не заявленных ранее при предо-ставлении субъектом персональных данных согласия на обработку персональных данных; — принимать предусмотренные законом меры по защите своих прав; — в любой момент отозвать свое согласие на обработку персональных данных пу-тем письменного заявления.

7.2. Субъект персональных данных обязан предоставить полные, точные и достоверные сведения о своих персональных данных.

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8. Права и обязанности Управляющей компании при обработке персональных данных

8.1. Управляющая компания имеет право: — обрабатывать персональные данные субъекта персональных данных в соответствии с заявленными целями; — требовать от субъекта персональных данных предоставления достоверных пер-сональных данных, необходимых для исполнения договора, оказания услуг, иден-тификации субъекта персональных данных, а также в иных случаях, предусмотрен-ных законодательством о персональных данных; — обрабатывать общедоступные персональные данные физических лиц; — осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Фе-дерации; — уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; — вести учет обращений субъектов персональных данных; — поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

8.2. Управляющая компания обязана: — предоставлять субъекту персональных данных по его запросу информацию, ка-сающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ; — по требованию субъекта персональных данных уточнять обрабатываемые персо-нальные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; — вести учет обращений субъектов персональных данных; — в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие пер-сональные данные, если иное не предусмотрено договором, стороной которого, вы-годоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управляющей компанией и субъектом персо-нальных данных; — в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Управляющей компанией и субъектом персональных данных. Об уничтожении персональных данных Управляющая компания обязана уведомить субъекта персональных данных; — Управляющая компания обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать их третьим лицам и не распространять пер-сональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом; — назначить лицо (лиц), ответственных за организацию обработки персональных данных.

9. Меры по обеспечению безопасности персональных данных при их обработке

9.1. При обработке персональных данных Управляющая компания принимает необ-ходимые правовые, организационные и технические меры для защиты персональ-ных данных от неправомерного или случайного доступа к ним, уничтожения, изме-нения, блокирования, копирования, предоставления, распространения персональ-ных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности: — определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; — применением организационных и технических мер по обеспечению безопасно-сти персональных данных при их обработке в информационных системах персо-нальных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Рос-сийской Федерации уровни защищенности персональных данных; — применением прошедших в установленном порядке процедуру оценки соответ-ствия средств защиты информации; — учетом машинных носителей персональных данных; — профилактикой несанкционированного доступа к персональным данным; — установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистра-ции и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; — ознакомлением персонала Управляющей компании, непосредственно осуществ-ляющего обработку персональных данных, с положениями законодательства РФ о персональных данных и обучением правилам обеспечения безопасности персо-нальных данных; — контролем за принимаемыми мерами по обеспечению безопасности персональ-ных данных и уровня защищенности информационных систем персональных дан-ных.

9.3. Сайт Управляющей компании производит сбор типовой информации журнала, включая IP-адрес, тип и язык обозревателя, а также данные о времени посещения и адресе веб-сайтов, с которых осуществляется переход по ссылкам. Сайт также может осуществлять сбор файлов cookie. Собранная типовая информация использу-ется исключительно в статистических целях.

10. Ответственность Управляющей компании

10.1. Контроль за выполнением требований настоящей Политики, правил и требований, применяемых при обработке персональных данных в Управляющей компании осуществляют лица, назначенные Приказом Генерального директора Управляющей компании.

10.2. Управляющая компания, а также ее должностные лица и сотрудники несут уголовную, гражданско-правовую, административную и дисциплинарную ответ-ственность за несоблюдение принципов и условий обработки персональных дан-ных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.