Политика обработки персональных данных

Политика обработки персональных данных

Общие положения

1.1. Настоящая Политика в области обработки и защиты персональных данных (далее – «Политика») принята и действует в ООО «Аудиторская фирма «ЛИВ и К» (далее – «Организация»), расположенном по адресу: 173000, Великий Новгород, ул. Фёдоровский Ручей, д. 12/57.

1.2. Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов, рекомендаций и инструкций Министерства цифрового развития, связи и массовых коммуникаций, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора), Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ), других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также локальных нормативных актов ООО «Аудиторская фирма «ЛИВ и К»  (далее также «Правила защиты данных»). Организация обеспечивает легитимность обработки и безопасность персональных данных в своей деятельности.

1.3. Политика применяется к обработке персональных данных Организацией в следующих случаях:

  • использование веб-сайта, владельцем которого является Организация;
  • любые обращения в Организацию в любой форме, направление жалоб, комментариев, замечаний и предложений;
  • посещение офиса Организации;
  • оказание услуг (включая информационные услуги с использованием сети нтернет);
  • взаимодействие с контрагентам и деловыми партнерами при осуществлении оперативной деятельности Организации;
  • в иных случаях.

Условия обработки cookie-файлов и иных технических данных о посетителях веб-сайта Организации указаны в документе о cookie-файлах («Cookies») на данном веб-сайте Организации, если осуществляется сбор и обработка такой информации.

1.4. Субъектами, чьи персональные данные обрабатываются в соответствии с Политикой, могут являться:

  • клиенты (потенциальные клиенты) с целью исполнения заявок или запросов;
  • контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Организации и их представители и работники;
  • иные лица в случаях, предусмотренных пунктом 1.3 выше.

1.5. Принципами обработки персональных данных в Организации являются:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • обрабатываемые персональных данных уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено ФЗ;
  • обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод;
  • иные принципы, определенные в Правилах защиты данных.

Состав и цели обработки персональных данных

2.1. В соответствии с принципами обработки персональных данных в Организации определены состав обрабатываемых персональных данных и цели их обработки.

Целями обработки персональных данных в Организации в соответствии с Политикой являются:

  • предоставление информации (включая информацию характера) о услугах Организации, наличии специальных предложений, акций в отношении них, о проведении мероприятий, презентаций;
  • продвижение услуг на рынке путем осуществления прямых и опосредованных контактов;
  • подготовка и направление предложений услуг, финансовых услуг, связанных с ними;
  • контроль качества оказания услуг;
  • организация участия субъектов персональных данных в различных мероприятиях, инициируемых Организацией;
  • проведение исследований рынка и других статистических исследований, в том числе исследований индекса удовлетворенности качеством предоставленных услуг, опросов клиентов;
  • обработка возможных претензий;

2.2. Состав и цели обработки персональных данных соответствуют требованиям действующего законодательства РФ в области обработки и защиты персональных данных.

2.3. Организация следует Общекорпоративным правилам защиты данных. ООО «Аудиторская фирма «ЛИВ и К» при обработке персональных данных преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта персональных данных.

2.4. Конкретные состав и цели обработки персональных данных фиксируются и доводятся до сведения субъекта персональных данных, соответствующим Согласием на обработку персональных данных.

Правила обработки персональных данных

3.1. Обработка персональных данных осуществляется Организацией на законной основе. В случаях, предусмотренных действующим законодательством РФ, Организация осуществляет получение согласия (письменного согласия) субъекта на обработку его персональных данных в установленным действующим законодательством РФ порядке.

3.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3.3. В Организации НЕ обрабатываются персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

3.4. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Организацией для установления личности субъекта персональных данных) в Организации не осуществляется.

3.5. Организация НЕ размещает персональных данных субъекта персональных данных в общедоступных источниках без его согласия.

3.6. Организация организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться в Организацию по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его персональных данных (информация об обрабатываемых персональных данных, запросы на уточнение, прекращение обработки, блокировку и уничтожение), по адресу электронной почты либо путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Организации.

Согласие на обработку персональных данных может быть отозвано субъектом путем направления сканированной копии письменного уведомления, подписанного субъектом персональных данных, на адрес электронной почты: либо оригинала письменного уведомления в адрес Организации заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Организации.

Организация при этом вправе продолжить обработку персональных данных в случаях, установленных действующим законодательством РФ, или если персональные данные обрабатываются в соответствии с иным законным основанием (в частности, в соответствии с принятыми условиями предоставления услуг).

3.7. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Организации с просьбой об отписке от таких коммуникаций следующими способами:

  • путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме. В этом случае Организация прекращает направление коммуникаций на адрес электронной почты;
  • путем обращения в по контактному телефону Организации;
  • путем обращения с соответствующим запросом по адресу электронной почты либо по адресу местонахождения Организации.

3.8. Организация может запрашивать согласие субъекта персональных данных неоднократно при каждом обращении субъекта. В случае если при последующих запросах Организацией согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.

3.9. Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Организацией в случаях и в порядке, предусмотренных законодательством РФ.

Установление правил и порядка обработки персональных данных

4.1. В соответствии с требованиями, указанными в п.1.2 настоящего документа, в Организации во внутренних документах, обязательных для исполнения всеми работниками Организации, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:

  • процедуры предоставления доступа к персональным данным;
  • процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки персональных данных;
  • процедуры уничтожения либо блокирования персональных данных в случае необходимости выполнения такой процедуры;
  • процедуры обработки обращений субъектов персональных данных (их законных представителей) для случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту персональных данных, информации, необходимой для предоставления возможности ознакомления субъектом персональных данных (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
  • процедуры обработки запроса уполномоченного органа по защите прав субъектов персональных данных;
  • процедуры получения согласия субъекта персональных данных на обработку его персональных данных и на передачу обработки его персональных данных третьим лицам;
  • процедуры передачи персональных данных между пользователями ресурса персональных данных, предусматривающего передачу персональных данных только между работниками Организации, имеющими доступ к персональных данных;
  • процедуры передачи персональных данных третьим лицам;
  • процедуры работы с материальными носителями персональных данных;
  • процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • необходимость применения типовых форм документов для осуществления обработки персональных данных и процедуры работы с ними.

Под типовой формой документа понимается форма документов, характер информации в которых предполагает или допускает включение в них персональных данных.

Требования к обеспечению конфиденциальности и безопасности персональных данных

5.1. С целью обеспечения безопасности м при их обработке в Организации реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности персональных данных и требования локальных нормативных актов Организации.

5.2. Организация применяет необходимые и достаточные правовые, организационные и технические меры, включающие в себя, в том числе:

  • разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
  • защиту персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка персональных данных осуществляется);
  • обнаружение фактов несанкционированного доступа к персональным данным  и принятие мер.

5.3. В части обеспечения конфиденциальности обработки Организация предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования персональных данных.

5.4. Руководство Организации заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Организации, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков для субъектов персональных данных.

Контроль

6.1. Контроль за выполнением настоящей Политики осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Организации, в соответствии с их функциями.

Заключительные положения

7.1. Настоящая Политика вступает в силу с момента ее утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Организации.

7.2. Политика может время от времени обновляться или иным образом изменяться Организацией, при этом любые изменения подлежат опубликованию Организацией. Такие изменения вступают в силу с момента их публикации.

7.3. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящей Политики.

7.4. В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Организация руководствуется нормами действующего законодательства РФ.