v OPRP1.2

1. Общие положения

1.1. Настоящая Политика Общества с ограниченной ответственностью «МУЛЬТИМЕДИЙНАЯ МАСТЕРСКАЯ» (далее – Организация, Оператор) (ИНН 4828996765, КПП 482801001, ОГРН 1224800011787, e‑mail: mediamasterme@ya.ru, юридический адрес: 399515, Липецкая область, Долгоруковский р‑н, д. Жемчужникова, ул. Набережная, д. 13) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.3. Политика действует в отношении всех персональных данных, которые обрабатываются Оператором.

1.4. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в сети Интернет по адресу: https://mediamast.ru/rights и на иных ресурсах Оператора.

1.5. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.6. Ответственность Оператора за нарушение требований законодательства Российской Федерации и нормативных актов в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Основные права и обязанности Оператора

2.1. Оператор вправе:
а) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральным законом;
б) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных (если иное не предусмотрено федеральным законом) на основании заключаемого с таким лицом договора; лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, обеспечивать конфиденциальность персональных данных и принимать необходимые меры по их защите;
в) продолжать обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных, в том числе в случае отзыва субъектом персональных данных согласия на обработку.

2.2. Оператор обязан:
а) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
б) при сборе персональных данных по просьбе субъекта персональных данных предоставлять ему информацию, касающуюся обработки его персональных данных;
в) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
г) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
д) по запросу уполномоченного органа по защите прав субъектов персональных данных сообщать необходимую информацию в срок не более десяти рабочих дней с даты получения запроса (с возможностью продления срока не более чем на пять рабочих дней при направлении мотивированного уведомления);
е) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном уполномоченным федеральным органом исполнительной власти.

3. Основные права субъекта персональных данных

3.1. Субъект персональных данных имеет право:
а) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами; сведения предоставляются в доступной форме и не должны содержать персональные данные других лиц, если нет законных оснований для их раскрытия;
б) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
в) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Цели сбора персональных данных

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка персональных данных, несовместимая с целями их сбора.

4.2. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

4.3. Оператор обрабатывает персональные данные в следующих целях:
- осуществление деятельности, предусмотренной учредительными документами Оператора;
- обеспечение соблюдения законов и иных нормативных правовых актов в рамках трудовых и непосредственно связанных с ними отношений, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
- продвижение товаров, работ, услуг Оператора на рынке путём осуществления прямых контактов с потенциальными контрагентами и клиентами с помощью средств связи;
- взаимодействие с пользователями сайтов и сервисов Оператора и обработка запросов и заявок от пользователей;
- участие физических и юридических лиц в активностях, мероприятиях, проектах, программах, реализуемых или проводимых Оператором и (или) третьими лицами при информационной, организационной и иной поддержке Оператора, а также их освещение в сети Интернет, на информационных стендах, в СМИ и др.

5. Правовые основания обработки персональных данных

5.1. Правовыми основаниями обработки персональных данных являются, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 № 402‑ФЗ «О бухгалтерском учёте»;
- Федеральный закон от 15.12.2001 № 167‑ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- иные нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с деятельностью Оператора.

5.2. Дополнительными правовыми основаниями обработки персональных данных являются:
- уставные документы Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку их персональных данных.

6. Объем и категории обрабатываемых персональных данных, категории субъектов, способы и сроки обработки, хранения и порядок уничтожения

6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не быть избыточными по отношению к ним.

6.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:

6.2.1. Кандидаты на замещение вакантных должностей.
Персональные данные обрабатываются в целях рассмотрения вопроса о приёме на работу, оценки профессиональных качеств, опыта работы, обеспечения пропускного режима и сохранности имущества:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные;
- сведения об образовании, опыте работы, квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме, анкетах и сопроводительных письмах.

6.2.2. Работники и бывшие работники Оператора.
Персональные данные обрабатываются в целях исполнения трудового законодательства, содействия работникам в получении образования и продвижении по службе, обеспечения личной безопасности, организации пропускного режима, контроля количества и качества выполняемой работы и сохранности имущества:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- ИНН;
- СНИЛС;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, поощрениях, награждениях и (или) дисциплинарных взысканиях;
- сведения о воинском учёте;
- сведения об инвалидности (при наличии и если требуется по закону);
- сведения об удержании алиментов и иных платежей;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые в соответствии с требованиями законодательства.

6.2.3. Члены семей работников Оператора.
Персональные данные обрабатываются в целях исполнения требований законодательства (в том числе налогового, пенсионного, социального):
- фамилия, имя, отчество;
- степень родства;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

6.2.4. Контрагенты и клиенты Оператора (физические лица).
Персональные данные обрабатываются в целях заключения, изменения, расторжения и исполнения договоров, а также для обеспечения пропускного режима и сохранности имущества:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- ИНН;
- СНИЛС;
- данные о статусе самозанятого (при наличии);
- банковские реквизиты;
- иные персональные данные, необходимые для заключения и исполнения договоров.

6.2.5. Представители (работники) клиентов и контрагентов Оператора.
Персональные данные обрабатываются в целях заключения и исполнения договоров с соответствующими организациями и индивидуальными предпринимателями:
- фамилия, имя, отчество;
- паспортные данные (при необходимости);
- контактные данные;
- занимаемая должность;
- иные персональные данные, необходимые для исполнения договоров.

6.2.6. Пользователи сайтов и онлайн‑сервисов Оператора.
Персональные данные обрабатываются в целях обработки запросов и заявок, направленных через сайты и иные онлайн‑сервисы:
- фамилия, имя, отчество;
- контактные данные;
- иные персональные данные, сообщаемые пользователями в формах обратной связи, заявках, комментариях и т.п., необходимые для обработки обращений и в уставных целях Оператора.

6.2.7. Участники мероприятий, проектов и программ Оператора.
Персональные данные обрабатываются в целях регистрации и участия в мероприятиях, а также их организационного и информационного сопровождения:
- фамилия, имя, отчество;
- пол;
- контактные данные;
- дата рождения (при необходимости);
- иные персональные данные, указанные в регистрационных формах и заявках и необходимые для проведения мероприятий и выполнения уставных целей Оператора.

6.3. Оператор не осуществляет обработку специальных категорий персональных данных (о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни), за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

6.4. Обработка специальных категорий персональных данных допускается только в случаях и в порядке, установленных Законом о персональных данных и иными федеральными законами, при наличии письменного согласия субъекта персональных данных либо в рамках трудового и социального законодательства.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, установленных Законом о персональных данных, на законной и справедливой основе.

7.2. Обработка персональных данных производится с согласия субъектов персональных данных, за исключением случаев, когда возможность обработки без получения такого согласия предусмотрена законодательством Российской Федерации. В случаях, предусмотренных законом, согласие на обработку персональных данных несовершеннолетнего даёт родитель (законный представитель).

7.3. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора, а также объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

7.4. При обработке персональных данных Оператор обеспечивает их точность, достаточность и, при необходимости, актуальность по отношению к целям обработки, принимает меры по удалению или уточнению неполных или неточных данных.

7.5. Обработка персональных данных осуществляется смешанным способом: с использованием средств автоматизации и без их использования.

7.6. Сроки обработки и хранения персональных данных определяются исходя из целей обработки, сроков действия договоров, требований законодательства Российской Федерации и локальных актов Оператора. Условиями прекращения обработки могут являться достижение целей обработки, истечение срока хранения, отзыв согласия субъекта персональных данных, а также выявление неправомерной обработки персональных данных.

7.7. К обработке персональных данных допускаются только работники Оператора, в должностные обязанности которых входит такая обработка.

7.8. Обработка персональных данных осуществляется, в том числе, путём:
- получения персональных данных непосредственно от субъектов персональных данных (в устной или письменной форме, через сайты и сервисы Оператора);
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных не запрещённых законом способов обработки.

7.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на распространение персональных данных оформляется отдельно от иных согласий и предусматривает возможность определения субъектом перечня распространяемых данных.

7.10. Передача персональных данных в государственные органы (налоговые органы, фонды, правоохранительные органы и др.) осуществляется в случаях и порядке, установленных законодательством Российской Федерации.

7.11. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий, включая:
- определение угроз безопасности персональных данных;
- принятие локальных нормативных актов по вопросам обработки и защиты персональных данных;
- назначение ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;
- организацию учёта и хранения документов и носителей, содержащих персональные данные;
- ограничение доступа к персональным данным;
- обучение работников, осуществляющих обработку персональных данных.

7.12. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если более длительный срок хранения не установлен федеральным законом или договором.

7.13. Срок хранения персональных данных определяется достижением целей обработки, сроками исковой давности по возможным спорам, сроками хранения документов по законодательству, а также моментом отзыва согласия субъектом персональных данных, если обработка основана на таком согласии.

7.14. Сроки хранения персональных данных в информационных системах соответствуют срокам хранения аналогичных данных на бумажных носителях.

7.15. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. [1]

7.16. Оператор прекращает обработку персональных данных в случаях:
- выявления факта неправомерной обработки – в срок не более трёх рабочих дней с даты выявления;
- достижения целей обработки – в срок не более тридцати дней с даты достижения цели;
- истечения срока действия или отзыва согласия субъекта персональных данных, если обработка допускается только на основании согласия, – в срок не более тридцати дней с даты получения отзыва, если иное не вытекает из договора или закона.

7.17. Обработка персональных данных может быть продолжена после отзыва согласия, если это допускается Законом о персональных данных или иными федеральными законами либо вытекает из обязательств по договору, стороной которого является субъект персональных данных.

7.18. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Оператор прекращает обработку в срок не более десяти рабочих дней с даты получения требования, за исключением случаев, предусмотренных Законом о персональных данных (с возможностью продления срока не более чем на пять рабочих дней при направлении мотивированного уведомления).

8. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов

8.1. Оператор в порядке, предусмотренном статьёй 14 Закона о персональных данных, по обращению субъекта персональных данных или его представителя сообщает информацию о наличии персональных данных, относящихся к данному субъекту, и предоставляет возможность ознакомиться с такими данными в срок не более десяти рабочих дней с даты получения запроса (с возможностью продления срока не более чем на пять рабочих дней при направлении мотивированного уведомления).

8.2. Оператор бесплатно предоставляет субъекту персональных данных или его представителю возможность ознакомления с его персональными данными. В срок не более семи рабочих дней со дня представления сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит необходимые изменения; в такой же срок при подтверждении незаконного получения персональных данных или их ненужности для заявленной цели обработки Оператор уничтожает эти данные и уведомляет субъекта персональных данных о внесённых изменениях и предпринятых мерах, а также, при необходимости, уведомляет третьих лиц, которым данные были переданы.

8.3. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных, его представителем или уполномоченным органом, Оператор уточняет персональные данные в течение семи рабочих дней и снимает блокирование.

8.4. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных в сроки и объёме, установленные законодательством Российской Федерации.

8.5. После истечения сроков хранения документов, содержащих персональные данные, либо при наступлении иных законных оснований такие документы подлежат уничтожению.

8.6. Для целей уничтожения документов Оператор создаёт комиссию и проводит экспертизу ценности документов.

8.7. Документы, содержащие персональные данные и подлежащие уничтожению:
- на бумажных носителях – уничтожаются путём измельчения в шредере или иным механическим способом;
- в электронном виде – удаляются с носителей информации или уничтожаются сами носители, если это необходимо.

8.8. Документом, подтверждающим уничтожение персональных данных, обрабатываемых без использования средств автоматизации, является акт об уничтожении персональных данных.

8.9. Документами, подтверждающими уничтожение персональных данных, обрабатываемых с использованием средств автоматизации, являются акт об уничтожении персональных данных и соответствующие записи (выгрузки) из журналов регистрации событий в информационных системах персональных данных.