Политикавотношении обработки персональных данных
ООО «МИКСАР»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) Общества с ограниченной ответственностью «МИКСАР», являющегося оператором персональных данных (ОГРН 1217800035980, ИНН 7810914750, адрес места нахождения: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1) (далее – Оператор, Общество), разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия и определения, используемые в Политике, соответствуют их значениям, определенным в Законе о персональных данных.
Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, распространение персональных данных.
Оператор: Общество с ограниченной ответственностью «МИКСАР», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные: любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Субъект персональных данных: физическое лицо, персональные данные которого обрабатываются Обществом в соответствии с положениями действующих нормативных правовых актов Российской Федерации и локальных актов Общества.
Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на веб-сайте Оператора, расположенном по адресу: https://www.mixar.ru/policy.
1.6. При обработке персональных данных граждан Российской Федерации, Оператор регистрируется в реестре Уполномоченного органа Российской Федерации по защите прав субъектов персональных данных (далее - Роскомнадзор) в качестве оператора персональных данных. Информацию об операторах любое лицо может получить через Интернет, осуществив поиск в реестре по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/. В реестре указываются предусмотренные законодательством Российской Федерации сведения об операторе применительно к соответствующему Обществу.
2. Правовые основания
2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных на законном и справедливом основании, в том числе, но не ограничиваясь: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральный закон от 07.07.2003 № 126-ФЗ «О связи», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», Устав Общества, договоры и соглашения Общества, согласия субъектов персональных данных и иные нормативно-правовые основания.
3. Назначение и область действия
3.1. Настоящая Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных в Обществе.
3.2. Политика в отношении обработки персональных данных распространяется на всех работников (включая работников по трудовым договорам и лиц, заключивших иные договоры с Обществом), контрагентов, представителей контрагентов, клиентов, посетителей веб-сайта, участников Общества.
3.3. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки Оператором персональных данных.
4. Цели обработки персональных данных
4.1. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
4.1.1. заключение трудовых отношений с физическими лицами, подбор персонала.
4.1.2. ведение кадрового и бухгалтерского учета;
4.1.3. обеспечение соблюдения трудового, налогового, пенсионного, страхового, законодательства РФ, а также законодательства об исполнительном производстве;
4.1.4. участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4.1.5. ведение внешнеэкономической деятельности, а именно трансграничная передача персональных данных (предусмотрена только для работников, задействованных в осуществлении внешнеэкономической деятельности Общества);
4.1.6. представительство Общества на товарном рынке, а также маркетинговое продвижение товаров и услуг.
4.1.7. подготовка, заключение, исполнение, продление гражданско-правовых договоров и иных договорных обязательств Общества;
4.1.8. идентификация сторон договоров, соглашений, сделок Общества;
4.1.9. использование юридическими и физическими лицами (клиентами, контрагентами, представителями контрагентов) веб-сайта Общества;
4.1.10. регистрация, идентификация и персонализация клиентов, контрагентов, представителей контрагентов, посетителей на веб-сайте Общества;
4.1.11. осуществление связи с физическими лицами (клиентами, контрагентами, представителями контрагентов, посетителями веб-сайта) и юридическими лицами для направления им уведомлений, ответов на запросы, информационных сообщений, в том числе сообщений маркетингового характера, а также иных действий для продвижения товаров, услуг Общества в рамках гражданско-правовых договоров и иных правоотношений;
4.1.12. защита законных интересов Общества, обеспечение информационной безопасности;
4.1.13. организация пропускного режима на территорию производства Общества;
4.1.14. обеспечение безопасности и сохранности имущества работников, контрагентов, представителей контрагентов, клиентов Общества;
4.1.15. контроль количества и качества работы, выполняемой работником согласно трудовому договору;
4.1.16. соблюдение иных норм и требований законодательства.
5. Категории субъектов персональных данных,
персональные данные, подлежащие обработке Оператором
5.1. К основным категориям субъектов персональных данных, чьи данные обрабатываются в Обществе, относятся:
5.1.1. Работники Общества, уволенные работники, состоящие или состоявшие в трудовых отношениях с Оператором, их ближайшие родственники, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей (соискатели).
5.1.2. Контрагенты, представители контрагентов, клиенты, участники Общества, состоящие или состоявшие в гражданско-правовых отношениях с Обществом, а также посетители веб-сайта.
5.1.3. Учащиеся, студенты, проходящие в Обществе стажировку, ознакомительную, производственную или преддипломную практику на основании договора с учебным заведением.
5.2. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки следующие персональные данные:
5.2.1. Соискатели: фамилия, имя, отчество; пол; год, месяц, дата и место рождения; семейное положение; гражданство; данные документов об образовании, специальность по диплому; адрес регистрации и адрес фактического проживания; ИНН; данные документа, удостоверяющего личность; контактный номер телефона; адрес электронной почты; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); должность; отношение к воинской обязанности; сведения о воинском учете; иные персональные данные, сообщаемые соискателями в резюме и сопроводительных письмах.
5.2.2. Работники Общества, уволенные работники, их ближайшие родственники: фамилия, имя, отчество; дата (месяц, год) рождения, место рождения; семейное положение, сведения о составе семьи, которые могут понадобиться Обществу для предоставления льгот, предусмотренных трудовым и налоговым законодательством; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; доходы; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты, номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); отношение к воинской обязанности; сведения о воинском учете; сведения об образовании; специальные сведения о состоянии здоровья, в части необходимой для выполнения трудовой функции: иные персональные данные, сообщаемые работником Обществу по собственной инициативе.
Для целей трансграничной передачи передаются только данные работников, задействованных в осуществлении внешнеэкономической деятельности Общества. Могут передаваться следующие данные: ФИО; адрес электронной почты; номер телефона; гражданство; должность; данные документа, удостоверяющего личность за пределами Российской Федерации.
5.2.3. Контрагенты, представители контрагентов, клиенты, участники Общества, состоящие или состоявшие в гражданско-правовых отношениях с Обществом: фамилия, имя, отчество; год, месяц, дата и место рождения; гражданство; адрес регистрации и адрес фактического проживания; номер телефона; адрес электронной почты; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; сведения об образовании; данные голоса, и иные персональные данные, необходимые для заключения и исполнения договоров, требований законодательства.
5.2.4. Посетители сайта: фамилия, имя, отчество; номер телефона; адрес электронной почты; должность; данные голоса.
5.2.5. Учащиеся, студенты: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; сведения об образовании.
5.3. Обработка персональных данных ведется как автоматизированно, так и без использования средств автоматизации. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Общества и с использованием информационно- телекоммуникационной сети Интернет.
5.4. Действия с персональными данными включают в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение. Общество также осуществляет распространение персональных данных работников на основании предоставленного согласия работника.
5.5. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и обновление.
6. Хранение, сроки обработки, удаления (уничтожения) персональных данных
6.1. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных. Обрабатываемые персональные данные подлежат удалению, уничтожению при наступлении следующих условий и сроков:
6.1.1. Достижение целей обработки персональных данных - в течение 30 (тридцати) дней.
6.1.2. Утрата необходимости в достижении целей обработки персональных данных - в течение 30 (тридцати) дней.
6.1.3. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, - в течение 7 (семи) дней.
6.1.4. Невозможность обеспечения правомерности обработки персональных данных - в течение 10 (десяти) дней.
6.1.5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, - в течение 30 (тридцати) дней.
6.1.6. Требование субъекта персональных данных о прекращении обработки персональных данных - в течение 10 (десяти) дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.1.7. С момента истечения сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
6.1.8. С даты ликвидации (реорганизации) Общества.
6.1.9. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
6.1.10. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.2. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора Общества. Способ уничтожения персональных данных устанавливается комиссией.
6.3. При осуществлении трансграничной передачи персональных данных Общество учитывает требования к такой передаче согласно применимому законодательству. Перед осуществлением передачи Общество оценивает соблюдение конфиденциальности и безопасности персональных данных при их обработке органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных.
7. Получение согласия субъекта на обработку его персональных данных,
отказ субъекта от обработки его персональных данных
7.1. В случае необходимости обработки персональных данных, не предусмотренных действующим законодательством или договором с субъектом и требующих получения согласия, такая обработка осуществляется только после получения соответствующего согласия субъекта персональных данных.
7.2. Согласие может быть выражено в форме совершения субъектом персональных данных определенных действий, например:
7.2.1. Подписание, направление, передача в письменной форме Оператору субъектом персональных данных согласия на обработку персональных данных с указанием необходимых сведений, в соответствии с применимыми требованиями и типовыми формами;
7.2.2. Проставление отметок, чек-боксов, заполнение соответствующих полей (ячеек) в формах, бланках на веб-сайте Оператора;
7.2.3. Продолжение телефонного разговора после уведомления Оператором о записи телефонного разговора;
7.2.4. Иные действия, совершаемые субъектом, позволяющие судить о его волеизъявлении.
7.3. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
7.4. В случае отказа субъекта от предоставления его персональных данных в необходимом и достаточном объеме, Оператор не сможет осуществить необходимые действия для достижения целей обработки и выполнения взятых на себя обязательств.
8. Обработка персональных данных по поручению Оператора,
передача третьим лицам
8.1. Оператор вправе поручить обработку персональных данных третьему лицу на основании заключенного с этим лицом договора.
8.2. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные нормативными правовыми актами Российской Федерации, включая, но не ограничиваясь, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ.
8.3. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.4. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для передачи третьим лицам, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для передачи.
8.6. Передача (предоставление, доступ) персональных данных третьим лицам должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно содержать фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка (передача) которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
9. Обработка электронных пользовательских данных, включая cookies
9.1. Общество в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные посетителей веб-сайта автоматически, без необходимости участия посетителей веб-сайта и совершения ими каких- либо действий по отправке данных.
9.2. Достоверность собранных таким способом электронных данных Обществом не проверяется, информация обрабатывается «как есть» в том виде, как она поступила с клиентского устройства посетителя.
9.3. Посетителям веб-сайта Общества может показываться всплывающее уведомление о сборе и обработке данных cookies со ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.
9.4. Такое уведомление означает, что при посещении и использовании сайта Общества в браузере на устройстве посетителя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать посетителя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения посетителя.
9.5. Обработка данных cookies необходима Обществу для корректной работы веб-сайта, персонализации посетителей, повышения эффективности и удобства работы с веб-сайтом, а также иных целей, предусмотренных Политикой.
9.6. Помимо обработки данных cookies, установленных веб-сайтом, посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайте Общества используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления посетителей веб-сайта. К таким случаям может относиться размещение на сайтах:
9.6.1. Счетчиков посещений, аналитических и статистических сервисов, таких как Яндекс.Метрика, для сбора статистики посещаемости общедоступных страниц сайтов.
9.6.2. Виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций с посетителями.
9.6.3. Систем контекстной рекламы, баннерных и иных маркетинговых сетей.
9.6.4. Кнопок авторизации на сайтах с помощью учетных записей в социальных сетях.
9.6.5. Иных сторонних компонентов, используемых Обществом на своем веб-сайте.
9.7. Принятие посетителем веб-сайта условий обработки cookies или закрытие всплывающего уведомления в соответствии с Политикой расценивается как согласие на обработку данных cookies.
9.8. Если посетитель не согласен с обработкой cookies, он должен принять на себя риск того, что в таком случае функции и возможности сайта могут быть не доступны в полном объеме, и следовать одному из следующих вариантов:
9.8.1. Произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов либо для конкретного сайта Общества или сайта стороннего компонента.
9.8.2. Переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим.
9.8.3. Покинуть веб-сайт Общества во избежание дальнейшей обработки cookies.
9.9. Посетитель может самостоятельно через встроенные в браузеры средства работы с данными cookies управлять сохраненными данными, в том числе, удалять или просматривать сведения об установленных сайтами cookies, включая:
9.9.1. Адреса сайтов и пути на них, куда будут отправляться cookies.
9.9.2. Названия и значения параметров, хранящихся в cookies.
9.9.3. Сроки действия cookies.
10. Конфиденциальность, безопасность персональных данных,
принятые меры защиты
10.1. Общество обязуется обеспечить надлежащее хранение персональных данных, не передавать их без предварительного письменного согласия субъекта, а также не осуществлять продажу, обмен, опубликование либо разглашение иными способами переданных персональных данных.
10.2. Для персональных данных в Обществе обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Общества, условиями заключенных соглашений и договоров Общества, за исключением случаев:
10.2.1. Если персональные данные содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения.
10.2.2. Если информация подлежит обязательному раскрытию третьим лицам согласно указанным целям обработки персональных данных, включая передачу государственным органам, в соответствии с применимым законодательством.
10.3. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, для обеспечения безопасности персональных данных и их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования и других несанкционированных действий. К таким мерам, в частности, относится:
10.3.1. Назначение физических лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Обществе.
10.3.2. Издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними работников.
10.3.3. Обучение работников по вопросам обработки персональных данных, обеспечения информационной безопасности.
10.3.4. Обеспечение физической безопасности оборудования, помещений, мест хранения персональных данных (установка сейфов, замков, видеонаблюдения).
10.3.5. Ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными.
10.3.6. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз.
10.3.7. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке.
10.3.8. Учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение.
10.3.9. Резервное копирование информации для возможности восстановления.
10.3.10. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
10.3.11. Проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных.
10.3.12. Иные меры в соответствии с локальными актами Общества.
10.4. В случае установления факта неправомерной или случайной передачи (предоставления, доступа, распространения) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество:
- в течение 24 (двадцати четырех) часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 (семидесяти двух) часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11. Отзыв согласия, получение информации об обработке персональных данных, права субъекта персональных данных
11.1. Субъект персональных данных (его законный представитель) имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Обществу по почте на адрес: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1, по электронной почте: info@mixar.ru или обратившись лично. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законом. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
11.2. Обществу необходимо также пояснить субъекту персональных данных последствия отзыва согласия на обработку персональных данных и прекратить обработку персональных данных с последующим удалением, уничтожением данных.
11.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
11.3.1. Подтверждение факта обработки персональных данных Обществом.
11.3.2. Правовые основания и цели обработки персональных данных.
11.3.3. Цели и применяемые в Обществе способы обработки персональных данных.
11.3.4. Наименование и место нахождения Общества, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, соглашения с Обществом или на основании закона.
11.3.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законом.
11.3.6. Сроки обработки персональных данных, в том числе сроки их хранения.
11.3.7. Порядок осуществления субъектом персональных данных прав, предусмотренных требованиями применимого законодательства.
11.3.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.
11.3.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
11.3.10. Иные сведения, предусмотренные требованиями применимого законодательства и соглашениями Общества.
11.4. Запрос Обществу на получение информации об обработке персональных данных может быть направлен по почте на адрес: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1, по электронной почте: info@mixar.ru или при личном обращении.
11.5. Запрос должен содержать: сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (ФИО, номер телефона, адрес электронной почты, номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; подпись субъекта персональных данных или его представителя.
11.6. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
11.7. Если в запросе субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.8. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.9. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований применимого законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в порядке, предусмотренном применимым законодательством.
11.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение документально подтвержденных убытков и (или) компенсацию морального вреда в судебном порядке.
11.11. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его законному представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
12. Роли и ответственность
12.1. Права, обязанности и ответственность Общества определяются применимым законодательством и заключенными соглашениями.
12.2. Ответственность работников Общества, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного обязательства о неразглашении конфиденциальной информации, персональных данных и иными локальными нормативными актами Общества и законодательством РФ.
12.3. Контроль за исполнением требований Политики Общества осуществляется в общем случае лицами, ответственными за организацию обработки персональных данных, назначенными приказом Генерального директора Общества.
12.4. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Общества, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и контрагентом договора, соглашения о конфиденциальности информации или иного соглашения.
12.5. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном применимым законодательством, локальными актами и соглашениями Общества.
13. Опубликование и актуализация Политики
13.1. Политика вводится в действие после утверждения Генеральным директором Общества.
13.2. Политика является общедоступным документом Общества и предусматривает возможность ознакомления любых лиц с ее действующей версией путем опубликования в сети Интернет на веб-сайте Общества по электронному адресу: https://www.mixar.ru/policy.
13.3. Политика действует бессрочно после утверждения и до ее замены новой версией. Общество имеет право вносить изменения в Политику без уведомления каких-либо лиц.
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) Общества с ограниченной ответственностью «МИКСАР», являющегося оператором персональных данных (ОГРН 1217800035980, ИНН 7810914750, адрес места нахождения: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1) (далее – Оператор, Общество), разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия и определения, используемые в Политике, соответствуют их значениям, определенным в Законе о персональных данных.
Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, распространение персональных данных.
Оператор: Общество с ограниченной ответственностью «МИКСАР», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные: любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Субъект персональных данных: физическое лицо, персональные данные которого обрабатываются Обществом в соответствии с положениями действующих нормативных правовых актов Российской Федерации и локальных актов Общества.
Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на веб-сайте Оператора, расположенном по адресу: https://www.mixar.ru/policy.
1.6. При обработке персональных данных граждан Российской Федерации, Оператор регистрируется в реестре Уполномоченного органа Российской Федерации по защите прав субъектов персональных данных (далее - Роскомнадзор) в качестве оператора персональных данных. Информацию об операторах любое лицо может получить через Интернет, осуществив поиск в реестре по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/. В реестре указываются предусмотренные законодательством Российской Федерации сведения об операторе применительно к соответствующему Обществу.
2. Правовые основания
2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных на законном и справедливом основании, в том числе, но не ограничиваясь: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральный закон от 07.07.2003 № 126-ФЗ «О связи», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации», Устав Общества, договоры и соглашения Общества, согласия субъектов персональных данных и иные нормативно-правовые основания.
3. Назначение и область действия
3.1. Настоящая Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных в Обществе.
3.2. Политика в отношении обработки персональных данных распространяется на всех работников (включая работников по трудовым договорам и лиц, заключивших иные договоры с Обществом), контрагентов, представителей контрагентов, клиентов, посетителей веб-сайта, участников Общества.
3.3. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки Оператором персональных данных.
4. Цели обработки персональных данных
4.1. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
4.1.1. заключение трудовых отношений с физическими лицами, подбор персонала.
4.1.2. ведение кадрового и бухгалтерского учета;
4.1.3. обеспечение соблюдения трудового, налогового, пенсионного, страхового, законодательства РФ, а также законодательства об исполнительном производстве;
4.1.4. участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4.1.5. ведение внешнеэкономической деятельности, а именно трансграничная передача персональных данных (предусмотрена только для работников, задействованных в осуществлении внешнеэкономической деятельности Общества);
4.1.6. представительство Общества на товарном рынке, а также маркетинговое продвижение товаров и услуг.
4.1.7. подготовка, заключение, исполнение, продление гражданско-правовых договоров и иных договорных обязательств Общества;
4.1.8. идентификация сторон договоров, соглашений, сделок Общества;
4.1.9. использование юридическими и физическими лицами (клиентами, контрагентами, представителями контрагентов) веб-сайта Общества;
4.1.10. регистрация, идентификация и персонализация клиентов, контрагентов, представителей контрагентов, посетителей на веб-сайте Общества;
4.1.11. осуществление связи с физическими лицами (клиентами, контрагентами, представителями контрагентов, посетителями веб-сайта) и юридическими лицами для направления им уведомлений, ответов на запросы, информационных сообщений, в том числе сообщений маркетингового характера, а также иных действий для продвижения товаров, услуг Общества в рамках гражданско-правовых договоров и иных правоотношений;
4.1.12. защита законных интересов Общества, обеспечение информационной безопасности;
4.1.13. организация пропускного режима на территорию производства Общества;
4.1.14. обеспечение безопасности и сохранности имущества работников, контрагентов, представителей контрагентов, клиентов Общества;
4.1.15. контроль количества и качества работы, выполняемой работником согласно трудовому договору;
4.1.16. соблюдение иных норм и требований законодательства.
5. Категории субъектов персональных данных,
персональные данные, подлежащие обработке Оператором
5.1. К основным категориям субъектов персональных данных, чьи данные обрабатываются в Обществе, относятся:
5.1.1. Работники Общества, уволенные работники, состоящие или состоявшие в трудовых отношениях с Оператором, их ближайшие родственники, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей (соискатели).
5.1.2. Контрагенты, представители контрагентов, клиенты, участники Общества, состоящие или состоявшие в гражданско-правовых отношениях с Обществом, а также посетители веб-сайта.
5.1.3. Учащиеся, студенты, проходящие в Обществе стажировку, ознакомительную, производственную или преддипломную практику на основании договора с учебным заведением.
5.2. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки следующие персональные данные:
5.2.1. Соискатели: фамилия, имя, отчество; пол; год, месяц, дата и место рождения; семейное положение; гражданство; данные документов об образовании, специальность по диплому; адрес регистрации и адрес фактического проживания; ИНН; данные документа, удостоверяющего личность; контактный номер телефона; адрес электронной почты; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время); должность; отношение к воинской обязанности; сведения о воинском учете; иные персональные данные, сообщаемые соискателями в резюме и сопроводительных письмах.
5.2.2. Работники Общества, уволенные работники, их ближайшие родственники: фамилия, имя, отчество; дата (месяц, год) рождения, место рождения; семейное положение, сведения о составе семьи, которые могут понадобиться Обществу для предоставления льгот, предусмотренных трудовым и налоговым законодательством; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; доходы; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты, номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации); отношение к воинской обязанности; сведения о воинском учете; сведения об образовании; специальные сведения о состоянии здоровья, в части необходимой для выполнения трудовой функции: иные персональные данные, сообщаемые работником Обществу по собственной инициативе.
Для целей трансграничной передачи передаются только данные работников, задействованных в осуществлении внешнеэкономической деятельности Общества. Могут передаваться следующие данные: ФИО; адрес электронной почты; номер телефона; гражданство; должность; данные документа, удостоверяющего личность за пределами Российской Федерации.
5.2.3. Контрагенты, представители контрагентов, клиенты, участники Общества, состоящие или состоявшие в гражданско-правовых отношениях с Обществом: фамилия, имя, отчество; год, месяц, дата и место рождения; гражданство; адрес регистрации и адрес фактического проживания; номер телефона; адрес электронной почты; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; должность; сведения об образовании; данные голоса, и иные персональные данные, необходимые для заключения и исполнения договоров, требований законодательства.
5.2.4. Посетители сайта: фамилия, имя, отчество; номер телефона; адрес электронной почты; должность; данные голоса.
5.2.5. Учащиеся, студенты: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; сведения об образовании.
5.3. Обработка персональных данных ведется как автоматизированно, так и без использования средств автоматизации. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Общества и с использованием информационно- телекоммуникационной сети Интернет.
5.4. Действия с персональными данными включают в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение. Общество также осуществляет распространение персональных данных работников на основании предоставленного согласия работника.
5.5. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и обновление.
6. Хранение, сроки обработки, удаления (уничтожения) персональных данных
6.1. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных. Обрабатываемые персональные данные подлежат удалению, уничтожению при наступлении следующих условий и сроков:
6.1.1. Достижение целей обработки персональных данных - в течение 30 (тридцати) дней.
6.1.2. Утрата необходимости в достижении целей обработки персональных данных - в течение 30 (тридцати) дней.
6.1.3. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, - в течение 7 (семи) дней.
6.1.4. Невозможность обеспечения правомерности обработки персональных данных - в течение 10 (десяти) дней.
6.1.5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных, - в течение 30 (тридцати) дней.
6.1.6. Требование субъекта персональных данных о прекращении обработки персональных данных - в течение 10 (десяти) дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.1.7. С момента истечения сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
6.1.8. С даты ликвидации (реорганизации) Общества.
6.1.9. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
6.1.10. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.2. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора Общества. Способ уничтожения персональных данных устанавливается комиссией.
6.3. При осуществлении трансграничной передачи персональных данных Общество учитывает требования к такой передаче согласно применимому законодательству. Перед осуществлением передачи Общество оценивает соблюдение конфиденциальности и безопасности персональных данных при их обработке органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных.
7. Получение согласия субъекта на обработку его персональных данных,
отказ субъекта от обработки его персональных данных
7.1. В случае необходимости обработки персональных данных, не предусмотренных действующим законодательством или договором с субъектом и требующих получения согласия, такая обработка осуществляется только после получения соответствующего согласия субъекта персональных данных.
7.2. Согласие может быть выражено в форме совершения субъектом персональных данных определенных действий, например:
7.2.1. Подписание, направление, передача в письменной форме Оператору субъектом персональных данных согласия на обработку персональных данных с указанием необходимых сведений, в соответствии с применимыми требованиями и типовыми формами;
7.2.2. Проставление отметок, чек-боксов, заполнение соответствующих полей (ячеек) в формах, бланках на веб-сайте Оператора;
7.2.3. Продолжение телефонного разговора после уведомления Оператором о записи телефонного разговора;
7.2.4. Иные действия, совершаемые субъектом, позволяющие судить о его волеизъявлении.
7.3. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
7.4. В случае отказа субъекта от предоставления его персональных данных в необходимом и достаточном объеме, Оператор не сможет осуществить необходимые действия для достижения целей обработки и выполнения взятых на себя обязательств.
8. Обработка персональных данных по поручению Оператора,
передача третьим лицам
8.1. Оператор вправе поручить обработку персональных данных третьему лицу на основании заключенного с этим лицом договора.
8.2. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные нормативными правовыми актами Российской Федерации, включая, но не ограничиваясь, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ.
8.3. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.4. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
8.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для передачи третьим лицам, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для передачи.
8.6. Передача (предоставление, доступ) персональных данных третьим лицам должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно содержать фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка (передача) которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
9. Обработка электронных пользовательских данных, включая cookies
9.1. Общество в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные посетителей веб-сайта автоматически, без необходимости участия посетителей веб-сайта и совершения ими каких- либо действий по отправке данных.
9.2. Достоверность собранных таким способом электронных данных Обществом не проверяется, информация обрабатывается «как есть» в том виде, как она поступила с клиентского устройства посетителя.
9.3. Посетителям веб-сайта Общества может показываться всплывающее уведомление о сборе и обработке данных cookies со ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.
9.4. Такое уведомление означает, что при посещении и использовании сайта Общества в браузере на устройстве посетителя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать посетителя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения посетителя.
9.5. Обработка данных cookies необходима Обществу для корректной работы веб-сайта, персонализации посетителей, повышения эффективности и удобства работы с веб-сайтом, а также иных целей, предусмотренных Политикой.
9.6. Помимо обработки данных cookies, установленных веб-сайтом, посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайте Общества используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления посетителей веб-сайта. К таким случаям может относиться размещение на сайтах:
9.6.1. Счетчиков посещений, аналитических и статистических сервисов, таких как Яндекс.Метрика, для сбора статистики посещаемости общедоступных страниц сайтов.
9.6.2. Виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций с посетителями.
9.6.3. Систем контекстной рекламы, баннерных и иных маркетинговых сетей.
9.6.4. Кнопок авторизации на сайтах с помощью учетных записей в социальных сетях.
9.6.5. Иных сторонних компонентов, используемых Обществом на своем веб-сайте.
9.7. Принятие посетителем веб-сайта условий обработки cookies или закрытие всплывающего уведомления в соответствии с Политикой расценивается как согласие на обработку данных cookies.
9.8. Если посетитель не согласен с обработкой cookies, он должен принять на себя риск того, что в таком случае функции и возможности сайта могут быть не доступны в полном объеме, и следовать одному из следующих вариантов:
9.8.1. Произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов либо для конкретного сайта Общества или сайта стороннего компонента.
9.8.2. Переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим.
9.8.3. Покинуть веб-сайт Общества во избежание дальнейшей обработки cookies.
9.9. Посетитель может самостоятельно через встроенные в браузеры средства работы с данными cookies управлять сохраненными данными, в том числе, удалять или просматривать сведения об установленных сайтами cookies, включая:
9.9.1. Адреса сайтов и пути на них, куда будут отправляться cookies.
9.9.2. Названия и значения параметров, хранящихся в cookies.
9.9.3. Сроки действия cookies.
10. Конфиденциальность, безопасность персональных данных,
принятые меры защиты
10.1. Общество обязуется обеспечить надлежащее хранение персональных данных, не передавать их без предварительного письменного согласия субъекта, а также не осуществлять продажу, обмен, опубликование либо разглашение иными способами переданных персональных данных.
10.2. Для персональных данных в Обществе обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Общества, условиями заключенных соглашений и договоров Общества, за исключением случаев:
10.2.1. Если персональные данные содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения.
10.2.2. Если информация подлежит обязательному раскрытию третьим лицам согласно указанным целям обработки персональных данных, включая передачу государственным органам, в соответствии с применимым законодательством.
10.3. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, для обеспечения безопасности персональных данных и их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования и других несанкционированных действий. К таким мерам, в частности, относится:
10.3.1. Назначение физических лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Обществе.
10.3.2. Издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними работников.
10.3.3. Обучение работников по вопросам обработки персональных данных, обеспечения информационной безопасности.
10.3.4. Обеспечение физической безопасности оборудования, помещений, мест хранения персональных данных (установка сейфов, замков, видеонаблюдения).
10.3.5. Ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными.
10.3.6. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз.
10.3.7. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке.
10.3.8. Учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение.
10.3.9. Резервное копирование информации для возможности восстановления.
10.3.10. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
10.3.11. Проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных.
10.3.12. Иные меры в соответствии с локальными актами Общества.
10.4. В случае установления факта неправомерной или случайной передачи (предоставления, доступа, распространения) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество:
- в течение 24 (двадцати четырех) часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 (семидесяти двух) часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11. Отзыв согласия, получение информации об обработке персональных данных, права субъекта персональных данных
11.1. Субъект персональных данных (его законный представитель) имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Обществу по почте на адрес: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1, по электронной почте: info@mixar.ru или обратившись лично. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законом. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
11.2. Обществу необходимо также пояснить субъекту персональных данных последствия отзыва согласия на обработку персональных данных и прекратить обработку персональных данных с последующим удалением, уничтожением данных.
11.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
11.3.1. Подтверждение факта обработки персональных данных Обществом.
11.3.2. Правовые основания и цели обработки персональных данных.
11.3.3. Цели и применяемые в Обществе способы обработки персональных данных.
11.3.4. Наименование и место нахождения Общества, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, соглашения с Обществом или на основании закона.
11.3.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законом.
11.3.6. Сроки обработки персональных данных, в том числе сроки их хранения.
11.3.7. Порядок осуществления субъектом персональных данных прав, предусмотренных требованиями применимого законодательства.
11.3.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.
11.3.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
11.3.10. Иные сведения, предусмотренные требованиями применимого законодательства и соглашениями Общества.
11.4. Запрос Обществу на получение информации об обработке персональных данных может быть направлен по почте на адрес: 173012, Новгородская область, м.р-н Новгородский, с.п. Трубичинское, тер. Зона П2, зд. 12/1, помещ. 1, по электронной почте: info@mixar.ru или при личном обращении.
11.5. Запрос должен содержать: сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (ФИО, номер телефона, адрес электронной почты, номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; подпись субъекта персональных данных или его представителя.
11.6. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
11.7. Если в запросе субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.8. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.9. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований применимого законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в порядке, предусмотренном применимым законодательством.
11.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение документально подтвержденных убытков и (или) компенсацию морального вреда в судебном порядке.
11.11. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его законному представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
12. Роли и ответственность
12.1. Права, обязанности и ответственность Общества определяются применимым законодательством и заключенными соглашениями.
12.2. Ответственность работников Общества, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного обязательства о неразглашении конфиденциальной информации, персональных данных и иными локальными нормативными актами Общества и законодательством РФ.
12.3. Контроль за исполнением требований Политики Общества осуществляется в общем случае лицами, ответственными за организацию обработки персональных данных, назначенными приказом Генерального директора Общества.
12.4. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Общества, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и контрагентом договора, соглашения о конфиденциальности информации или иного соглашения.
12.5. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном применимым законодательством, локальными актами и соглашениями Общества.
13. Опубликование и актуализация Политики
13.1. Политика вводится в действие после утверждения Генеральным директором Общества.
13.2. Политика является общедоступным документом Общества и предусматривает возможность ознакомления любых лиц с ее действующей версией путем опубликования в сети Интернет на веб-сайте Общества по электронному адресу: https://www.mixar.ru/policy.
13.3. Политика действует бессрочно после утверждения и до ее замены новой версией. Общество имеет право вносить изменения в Политику без уведомления каких-либо лиц.