Кот Мио

Политика обработки персональных данных в ООО «ТИЭССИ ФУД ПРОДАКТС РУ»

Утверждено

Приказом Генерального директора ООО «ТИЭССИ ФУД ПРОДАКТС РУ» № 20/03/25 от 20 марта 2025г.

 

Термины и определения.

Общество/Оператор — ООО «ТИЭССИ ФУД ПРОДАКТС РУ» (ОГРН: 1197746032901, ИНН: 9725001600), организующее и осуществляющее обработку персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Администрация сайта компании  tsc-ru.com (далее – «Администрация сайта») – уполномоченные на управление сайтом сотрудники, действующие от имени ООО «ТИЭССИ ФУД ПРОДАКТС РУ», которые организуют и (или) осуществляет обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Пользователь веб-сайта:  tsc-ru.com (далее «Пользователь») – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее веб-сайт:  https://tsc-ru.com/

Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.

Информационная система персональных данных– совокупность информационных технологий и технических средств, которые обеспечивают обработку персональных данных, а также баз данных и систем хранения данных, в которых обрабатываются персональные данные.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

Партнер Общества – компания, входящая в Группу компаний Общество и/или экосистему, продвижение продуктов, и/или услуг которой осуществляется Обществом на основании договора/договоров, заключенных с указанной компанией.

Потенциальный клиент – физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Общества, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

 

1.Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в ООО «ТИЭССИ ФУД ПРОДАКТС РУ» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в целях реализации ООО «ТИЭССИ ФУД ПРОДАКТС РУ», (далее – Общество, Оператор) положений Законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Обществом, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политика действует в отношении всех персональных данных, которые обрабатывает Общество.

1.2. Политика является основой для организации обработки и защиты персональных данных в Обществе, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Обществе, и определяет:

  • принципы обработки персональных данных, которыми руководствуется Общество при осуществлении деятельности;
  • правовые основания обработки персональных данных;
  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
  • основных участников системы управления процессом обработки и защиты персональных данных;
  • основы организации процесса управления обработкой персональных данных;
  • основы порядка рассмотрения обращений Субъектов персональных данных по вопросам обработки персональных данных;
  • меры обеспечения конфиденциальности и безопасности персональных данных;
  • права и обязанности Общества и Субъектов персональных данных.

1.3. Требования настоящей Политики являются обязательными для исполнения всеми Работникам Общества.

1.4. Ознакомление Работников Общества с условиями, в том числе с изменениями условий настоящей Политики, осуществляется под подпись с учетом требований, предусмотренных законодательством Российской Федерации.

1.6. Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Общества:  https://tsc-ru.com/.

2.Принципы обработки персональных данных

Организация обработки и защиты персональных данных в Обществе, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, закрепленных в Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», которые являются основой соблюдения требований Законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

  • осуществление обработки персональных данных на законной основе;
  • обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
  • обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
  • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
  • осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором;
  • уничтожение или обеспечение уничтожения персональных данных, по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.

3. Правовые основания обработки персональных данных.

Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Обществе, являются:

3.1. Согласие Субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных Законодательством РФ для соответствующей категории персональных данных;

3.2. Положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь:

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

— Гражданский кодекс Российской Федерации (ч. 1-4).

— Налоговый кодекс Российской Федерации (ч. 1-2).

— Трудовой кодекс Российской Федерации.

— Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации».

— Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

— Закон Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей».

— Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации».

— Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;

— Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний».

— Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».

— Федеральный закон от 26.10.2002 № 127-ФЗ «О несостоятельности (Банкротстве)».

— Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве».

— Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

— Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».

— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

— Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрировано в Минюсте России 14.05.2013 № 28375).

— Приказ Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3.3. судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства РФ об исполнительном производстве;

3.4. договор, стороной которого является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;

3.5. обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

3.6. права и законные интересы Общества, третьих лиц, Партнеров, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;

3.7. обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

3.8. обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством РФ и иными применимыми нормативными правовыми актами РФ;

4. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения

Обработка персональных данных Субъектов персональных данных осуществляется Обществом в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Для каждой цели обработки персональных данных в Обществе определены:

  • соответствующие категории и перечень обрабатываемых персональных данных;
  • категории Субъектов персональных данных, персональные данные которых обрабатываются Обществом;
  • способы и сроки обработки и хранения персональных данных;
  • порядок уничтожения персональных данных.

4.1. Цель обработки персональных данных:

4.1.1. «Ведение кадрового и бухгалтерского учета»

В рамках настоящей цели Общество обрабатывает персональные данные следующих категорий Субъектов персональных данных: «Работники Общества, Бывшие работники Общества и связанные с Работниками Общества физические лица (родственники), Соискатели».

При этом персональные данные физических лиц, связанных с Работниками Общества, обрабатываются Обществом исключительно в связи с необходимостью организации, обеспечения и регулирования, трудовых и непосредственно связанных с ними отношений.

Так же персональные данные физических лиц, Соискателей на вакантную должность работников Общества, обрабатываются Обществом исключительно в связи с необходимостью организации обеспечения и регулирования вопросов трудоустройства и непосредственно связанных отношений.

4.1.1.1. В отношении Работников Общества (родственников Работников или Соискателей в рамках указанной в 4.1.1. цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:

  • персональные данные, входящие в категорию «Общие персональные данные»: фамилия; имя; отчество; дата/месяц/год рождения; место рождения, сведения о семейном положении; сведения свидетельства о браке; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о доходах; данные о категориях для премирования; сведения о заработной плате; пол; адрес регистрации адрес по месту жительства/пребывания); адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); страховой номер индивидуального лицевого счета (СНИЛС); идентификационный номер налогоплательщика(ИНН); гражданство/резидентство; сведения о налоговом статусе; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность); данные документа, удостоверяющего личность за пределами Российской Федерации, сведения о смене, а также реквизиты ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); данные водительского удостоверения; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время, данные о кадровых мероприятиях (включая дату приема на работу/увольнения, переводов на другую работу); информация из системы учета посещений, полученных при выполнении трудовых обязанностей; результаты обучения, тестирований; результаты обучения по системам оценивания личной эффективности, в том числе ключевые показатели эффективности; результаты, полученные в результате проведенных оценочных мероприятий/тестирований у Работодателя или Партнеров; сведения о награждениях и поощрениях;); отношение к воинской обязанности, сведения о воинском учете(сведения, содержащиеся в документах воинского учета); IP-адресе, типе  используемого устройства, типе операционной системы устройства, используемого субъектом); сведения об образовании (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность); фото-видео изображение лица; данные о налоговых вычетах; данные свидетельства/акта о смерти; сведения, указанные в свидетельстве о регистрации транспортного средства; уровень владения иностранными языками; сведения об образовании подпись (ЭЦП); сведения об исполнительных листах/судебных приказах, включая сведения о выплате алиментов; сведения о социальных и иных льготах; ссылка на аккаунт в социальных сетях (в случае размещения такой информации Работником во внутренних каналах коммуникации Общества); прочие персональные данные, необходимые для достижения цели обработки персональных данных, указанной в п 4.1.1., сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
  • персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются.
  • персональные данные, входящие в категорию «Биометрические персональные: не обрабатываются.

4.1.2. «Предоставление товаров, сервисов и услуг Клиентам и/или Потенциальным клиентам (физическим лицам), юридическим лицам, индивидуальным предпринимателям, лицам, занимающимся частной практикой, лицам, применяющим специальный налоговый режим), включая взаимодействие по вопросам предоставления и сопровождения товаров, сервисов и услуг».

Общество обрабатывает персональные данные следующих категорий Субъектов персональных данных: Клиенты Общества (физические лица), Потенциальные клиенты Общества (физические лица), представители юридических лиц (их работники/физические лица), индивидуальных предпринимателей, лица, занимающиеся частной практикой, лица, применяющие специальный налоговый режим. При этом персональные данные лиц, связанных с Клиентами Общество/Потенциальными клиентами Общества (физическими лицами), обрабатываются Обществом исключительно в связи с необходимостью создания условий для предоставления/содействия в предоставлении информации и/или непосредственно товаров и услуг Клиентам/Потенциальным клиентам (субъект персональных данных).

4.1.2.1. В отношении Клиентов Общества (субъектов персональных данных) в рамках указанной в п. 4.1.2. цели, при наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих категорий и перечня персональных данных:

  • персональные данные, входящие в категорию «Общие персональные данные»: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документов, удостоверяющих личность (данные паспорта; дата рождения; место рождения; город проживания; адрес (в зависимости от процесса и/или товара, услуги, адрес регистрации по месту жительства/пребывания; адрес фактического проживания; адрес доставки; рабочий адрес); гражданство; пол; сведения о работе, в том числе о месте работы, должности; идентификационный номер налогоплательщика(ИНН); номер договора; номер счета; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность); сведения о действиях на сайте Общества, (в том числе о дате/времени, когда совершались действия, об ID используемого устройства, ID (идентификаторе/уникальном коде, присваиваемом субъекту), IP-адресе, типе  используемого устройства, типе операционной системы устройства, используемого субъектом); сведения, полученные в рамках заключенных договоров, использования соответствующих товаров/сервисов; сведения о выбранных/полученных товарах/услугах; сведения о налоговом статусе; данные об участии в мероприятиях Общества; сведения, указанные в водительском удостоверении; сведения, указанные в свидетельстве о регистрации транспортного средства; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
  • персональные данные, входящие в категорию «Специальные категории персональных данных»: не обрабатываются.
  • персональные данные, входящие в категорию «Биометрические персональные данные»: не обрабатываются.

 

4.2. Для каждой указанной цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на Материальных носителях. Обработка Обществом персональных данных автоматизированным способом и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и локальных нормативных актов Общества, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Общество принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований, предусмотренных Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном Законодательством РФ, в том числе в соответствии с Приказом Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

4.3. Сроки обработки и хранения персональных данных для каждой указанной в цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.

4.4. Порядок уничтожения персональных данных:

Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в п. 4.1.1. и 4.1.2. настоящей Политике, производится в следующих случаях:

  • при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»и/или иными применимыми нормативными правовыми актами РФ;
  • при выявлении факта неправомерной обработки персональных данных;
  • при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных».

Способы уничтожения персональных данных определяются локальными нормативными актами Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и Материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 6.8. настоящей Политики.

5. Основные участники системы управления процессом обработки и защиты персональных данных

В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных Законодательством РФ для Операторов персональных данных, в Обществе определены основные участники указанной системы управления и их функции.

5.1. Руководитель Общества

Руководитель Общества определяет, рассматривает и утверждает Политику Общества в отношении обработки персональных данных; Политику использования файлов Сookies; Согласие на распространение, на получение рассылки рекламно-информационных и маркетинговых материалов по сетям электросвязи пользователя сайта: https://tsc-ru.com/.; локальные нормативные акты Общества в отношении обработки, защиты и уничтожения персональных данных; Согласие на отработку персональных данных работников Общества, Согласие на передачу или распространение персональных данных работников Общества и иные положения, согласия во исполнение требований законодательства РФ и ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»; издает приказы по назначению лиц, ответственных за организацию обработки и защиту персональных данных, о создании комиссии по уничтожению персональных данных и иные приказы и распоряжения, для исполнения законодательства РФ и ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;

5.2. Лицо, ответственное за организацию обработки и защиту персональных данных

В функции лица, ответственного за организацию обработки и защиту персональных данных, входят, в частности:

  • управление процессом организации обработки, защиты и уничтожения персональных данных в соответствии с требованиями Законодательства РФ, настоящей Политики, а также локальных нормативных актов Общества в отношении обработки, защиты и уничтожения персональных данных;
  • разработка локальных нормативных актов Общества по вопросам обработки и защиты и уничтожения персональных данных;
  • организация ознакомления Работников Общества с положениями Законодательства РФ, настоящей Политики, локальных нормативных актов Общества по вопросам обработки, защиты и уничтожения персональных данных;
  • организация и осуществление экспертизы процессов, в рамках которых осуществляется обработка персональных данных, и/или локальных нормативных актов Общества по вопросам обработки, защиты и уничтожения персональных данных;
  • организация и осуществление имплементации требований локальных нормативных актов Общества по вопросам обработки, защиты и уничтожения персональных данных в процессы Общества, в рамках которых осуществляется обработка персональных данных;
  • организация и осуществление оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения Обществом требований Законодательства РФ, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • разработка и организация применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • организация и осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • обеспечение внутреннего контроля за соблюдением Обществом и его Работниками требований Законодательства РФ, настоящей Политики, иных локальных нормативных актов Общества по вопросам обработки, защиты и уничтожения персональных данных;
  • осуществление контроля за приемом и обработкой обращений и запросов Субъектов персональных данных, по вопросам обработки персональных данных Субъектов персональных данных;
  • взаимодействие с Надзорным органом и иными компетентными органами (государственными органами, государственными учреждениями, государственными внебюджетными фондами, муниципальными органами) по вопросам обработки и защиты персональных данных в Обществе;
  • обеспечение уведомления Надзорного органа об изменении сведений об обработке персональных данных, в целях обеспечения защиты прав Субъектов персональных данных;
  • осуществление уведомления Надзорного органа об указанных в ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» обстоятельствах в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных.

Лицо, ответственное за организацию обработки и защиту персональных данных, при исполнении возлагаемых на него функций вправе:

  • делегировать функции, предусмотренные для лица, ответственного за организацию обработки и защиту персональных данных, положениями Законодательства РФ, настоящей Политики, иных локальных нормативных актов Общества, лицам, обязанным исполнять указания/поручения по реализации указанных функций в порядке, установленном в локальные нормативные акты Общества;
  • направлять указания и поручения по вопросам обработки и защиты персональных данных в порядке, предусмотренном локальными нормативными актами Общества, в адрес подразделений и Работников Общества, осуществляющих обработку персональных данных и/или имеющих доступ к персональным данным. Исполнение таких указаний и поручений является обязательным для всех подразделений и Работников Общества.
  • в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Общества по обеспечению соблюдения требований настоящей Политики, а также утвержденных локальных нормативных актов Общества по вопросам обработки, защиты и уничтожению персональных данных.
  • осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;
  • обеспечивает правовую защиту интересов Общества при рассмотрении административных дел, а также гражданско-правовых, трудовых и иных споров по вопросам обработки и защиты персональных данных.

В целях соблюдения требований Законодательства РФ, прав Субъектов персональных данных лицом, ответственным за организацию обработки и защиту персональных данных, осуществляется контроль:

  • соответствия обработки персональных данных в процессах Общества, в рамках которых осуществляется обработка персональных данных, положениям Законодательства РФ, локальных нормативных актов Общества;
  • соблюдения Партнерами и иными лицами, которым Обществом поручена обработка персональных данных, требований, предусмотренных локальными нормативными актами Общества, а также условий заключенных договоров.

5.3. Лица, обеспечивающие процессы информационной системы персональных данных.

Лица, обеспечивающие процессы информационной системы персональных данных обеспечивают разработку и функционирование процессов и информационной системы персональных данных, в которых осуществляется обработка персональных данных, в соответствии с положениями Законодательства РФ, локальными нормативными актами Общества по вопросам обработки, защиты и уничтожения персональных данных.

6. Организация процесса управления обработкой персональных данных

6.1. Обрабатывая персональные данные, Общество руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленным положениями Законодательства РФ, настоящей Политики, иных локальных нормативных актов Общества.

6.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов Субъектов персональных данных в рамках утвержденных процессов и/или локальными нормативными актами Общества, определяющих, в частности:

  • правовые основания (условия) и источники сбора (получения) персональных данных;
  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных;
  • сроки обработки и хранения персональных данных;
  • обязанности лиц, организаторов процессов и информационной системы персональных данных, этапы/операции (действия) и способы обработки персональных данных;
  • порядок доступа Работников Общества к персональным данным и их обработке;
  • порядок передачи персональных данных Третьим лицам/Партнерам Общества/иным лицам (если применимо, в том числе государственным органам и/или учреждениям, государственным внебюджетным фондам, муниципальным органам), порядок распространения персональных данных в отношении неопределенного круга лиц;
  • порядок уточнения (обновления, изменения) персональных данных;
  • порядок архивного хранения персональных данных;
  • порядок прекращения обработки и уничтожения/обеспечения уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества).

Указанные процессы и/или локальные нормативные акты Общества не могут противоречить положениям Законодательства РФ и настоящей Политики. В случае противоречия между процессами и/или локальными нормативными актами Общества и положениями Законодательства РФ и/или настоящей Политики указанные процессы и/или локальные нормативные акты Общества должны быть приведены в соответствие с положениями настоящей Политики и Законодательства РФ.

6.3. В Обществе определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Общества, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции Работников Общества и/или в трудовые договоры, в том числе, если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению конфиденциальности и безопасности персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных Работники Общества, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, ознакомляются под подпись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, а также с требованиями локальных нормативных актов Общества, регламентирующих вопросы обработки, защиты и уничтожения персональных данных.

6.4. В части обработки персональных данных Работников Общества, в том числе, руководствуется специальными требованиями, предусмотренные Трудовым кодексом Российской Федерации.

6.5. При обработке персональных данных в Обществе обеспечивается своевременное уточнение (обновление, изменение) персональных данных Субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:

  • обращения в Общество Субъекта персональных данных, его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), Надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;
  • установления Обществом расхождений между ранее полученными персональными данными Субъекта персональных данных и персональными данными, предоставляемыми Субъектом персональных данных, его Представителем, (обладающим полномочиями на представление интересов Субъекта персональных данных), Надзорным органом наряду с подтверждающими документами.

6.6. Получение Обществом персональных данных от Третьего лица/Партнера/иных лиц (если применимо) и/или передача (предоставление, доступ) персональных Третьему лицу/Партнеру/иному лицу (если применимо), а также поручение обработки персональных данных Третьему лицу/Партнеру/иному лицу (если применимо) допускается с согласия Субъекта персональных данных на обработку персональных данных, в том числе предоставленного Третьему лицу/Партнеру, или при наличии иных оснований, предусмотренных Законодательством РФ. Получение Обществом персональных данных от Третьего лица/Партнера/иного лица (если применимо) и/или передача (предоставление, доступ) персональных данных Третьему лицу/Партнеру/иному лицу (если применимо), а также поручение обработки персональных данных Третьему лицу/Партнеру/иному лицу (если применимо) осуществляется на основании соответствующего договора с Третьим лицом/Партнером/иным лицом (если применимо), включающего в себя условия обработки персональных данных, требования к обеспечению конфиденциальности и безопасности персональных данных при их обработке и иные требования в соответствии с ФЗ от 27.07.2006 № 152-ФЗ.

Передача персональных данных государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия Субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных Законодательством РФ.

Трансграничная передача персональных данных Обществом не осуществляется.

6.7. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием Субъекта персональных данных на обработку его персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных Общество вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при условии наличия оснований (условий обработки персональных данных), предусмотренных ФЗ от 27.07.2006 № 152-ФЗ.

6.8. В случае отсутствия у Общества правовых оснований на обработку персональных данных (условий обработки персональных данных) Общество в порядке, установленном ФЗ от 27.07.2006 № 152-ФЗ, производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Общества). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются Материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в информационной системе учета персональных данных, в соответствии с требованиями Приказа Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», установленными Надзорным органом, к документированию уничтожения персональных данных, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.

7. Порядок рассмотрения обращений и/или запросов Субъектов персональных данных

7.1. В целях соблюдения прав и законных интересов Субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений Субъектов персональных данных, а также контроль обеспечения такого приема и обработки.

7.2. При рассмотрении обращений и/или запросов Субъектов персональных данных Общество руководствуется положениями Законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое Субъектом персональных данных, должен/должно содержать информацию, предусмотренную ФЗ от 27.07.2006 № 152-ФЗ.

7.3. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов персональных данных производится Обществом в объеме и сроки, предусмотренные Законодательством РФ. Установленный Законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных ФЗ от 27.07.2006 № 152-ФЗ ограничений с направлением в адрес Субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

7.4. Общество, получив обращение и/или запрос Субъекта персональных данных и убедившись в его законности, предоставляет Субъекту персональных данных и/или его Представителю, обладающему полномочиями на представление интересов Субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Обществом сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.5. Общество вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления Субъекту персональных данных или его Представителю мотивированного отказа, если у Общества в соответствии с Законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

8. Меры обеспечения конфиденциальности и безопасности персональных данных

Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с ФЗ от 27.07.2006 № 152-ФЗОбществом принимаются необходимые правовые, организационные и технические меры.

В частности, принимаются следующие меры:

  • определяются актуальные угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
  • для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
  • проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
  • обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;
  • обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • осуществляется организация учета технических средств, входящих в состав информационной системе персональных данных, а также машинных носителей;
  • определяется и при необходимости актуализируется перечень лиц (Работников Общества), которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в информационной системе персональных данных, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем Работникам Общества, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;
  • обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;
  • обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение информационной системе персональных данных Общества внутри защищенного периметра, расположенного в пределах контролируемой зоны;
  • реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на информационную систему персональных данных и по реагированию на компьютерные инциденты в них;
  • обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
  • осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
  • проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
  • осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
  • реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных защищенности информационной системы персональных данных Общества.

Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения ФЗ от 27.07.2006 № 152-ФЗ, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ.

 

9. Права и обязанности Оператора, права Субъекта персональных данных

9.1. Оператор обязан:

  • при обработке персональных данных соблюдать требования Законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;
  • при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Обществу сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
  • в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
  • в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную ФЗ от 27.07.2006 № 152-ФЗ, с учетом установленных Законодательством РФ исключений;
  • выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Надзорного органа;
  • принимать меры, направленные на обеспечение выполнения требований ФЗ от 27.07.2006 № 152-ФЗ;
  • принимать меры по обеспечению безопасности персональных данных при их обработке;
  • выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
  • выполнять обязанности, установленные ФЗ от 27.07.2006 № 152-ФЗдля Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
  • взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ;
  • выполнять иные обязанности, предусмотренные Законодательством РФ.

9.2. Оператор имеет право:

  • обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ;
  • осуществлять передачу персональных данных Субъектов персональных данных Третьим лицам/Партнерам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных Третьим лицам/Партнерам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований ФЗ от 27.07.2006 № 152-ФЗ;
  • отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ/;
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗи принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;
  • самостоятельно, с учетом требований ФЗ от 27.07.2006 № 152-ФЗ, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер ;
  • реализовывать иные права, предусмотренные Законодательством РФ.

9.3. Субъект персональных данных имеет право:

  • свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований ФЗ от 27.07.2006 № 152-ФЗк форме и содержанию согласий на обработку персональных данных;
  • направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные Законодательством РФ;
  • требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством РФ меры по защите своих прав с учетом исключений, установленных ФЗ от 27.07.2006 № 152-ФЗ;
  • обратиться с требованием к Обществу прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
  • осуществлять иные права, предусмотренные Законодательством РФ.

10. Заключительные положения

10.1. Настоящая Политика вводится в действие и становится обязательной для исполнения всеми Работниками Общества с момента ее утверждения.

10.2. Настоящая Политика может быть изменена в любой момент времени по усмотрению Общества.

10.3. В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.

10.4. Работники Общества несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных Трудовым кодексом Российской Федерации, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.

10.5. Политика в отношении обработки персональных данных Общества публикуется на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» на веб-сайте:  https://tsc-ru.com/