Политика в отношении обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее - Политика) составлена в соответствии с требованиями п. 2 ч. 1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 года, а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее - Данных), которые ООО «ЕВРОФИЛМ» (далее – Оператор/ Организация/Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору (далее – Субъект), а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник), и от посетителей сайта Оператора, клиентов, обращающихся по телефону Общества.

1.2. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных нормативных правовых актов, изданных уполномоченными органами.

2. Основные термины и определения, используемые в Политике

Конфиденциальность персональных данных – обязательное требование к Оператору или иным лицам, получившим доступ к Персональным данным, не раскрывать их третьим лицам и не распространять без согласия Субъекта персональных данных, если иное не предусмотрено законом.

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных – ПД, доступ к которым неограниченного круга лиц предоставлен субъектом персональных данных, либо по его просьбе.

3. Обработка персональных данных

3.1. Получение ПД

3.1.1. Все ПД необходимо получать от самого Субъекта. В случае если ПД субъекта можно получить только у третьего лица, Субъект должен быть уведомлен об этом или от него должно быть получено соответствующее согласие. Для телефонных обращений согласие может быть получено устно и зафиксировано записью разговора.

3.1.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение.

3.1.3. Документы, содержащие ПД, создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.), внесения данных, предоставленных через сайт Общества, по адресу электронной почты Общества или по телефону Общества.

3.2. Обработка ПД

3.2.1. Обработка персональных данных осуществляется:

- с согласия Субъекта персональных данных на обработку его персональных данных;

- без согласия Субъекта в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

- без согласия Субъекта в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных, либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.2.2. Цели обработки персональных данных:

- осуществление Обществом трудовых правоотношений с физическими лицами;

- по гражданско-правовым договорам;

- осуществление работ\услуг;

- отправка на электронный адрес уведомлений, в том числе касающихся предоставляемых работ\услуг;

- отправка ответов на возникшие вопросы и обращения;

- обеспечение защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

- отправка уведомлений о предоставляемых услугах, ответов на обращения, а также «информационных и рекламных рассылок» отправка информационных рассылок, в том числе рекламного характера, с целью уведомления об акциях, товарах, услугах и работах Оператора (Отправка информационных и рекламных рассылок осуществляется только при наличии отдельного согласия субъекта персональных данных на получение таких сообщений в соответствии с требованиями законодательства о рекламе);

- исполнение судебных актов, актов другого органа или должностного лица, подлежащие исполнению обществом в соответствии с положениями законодательства РФ об исполнительном производстве.

3.2.3. Виды субъектов персональных данных.

Оператором обрабатываются ПД следующих Субъектов ПД:

- физических лиц, состоящих с Обществом в трудовых отношениях;

- физических лиц, являющихся близкими родственниками работников Общества;

- физических лиц, уволившихся из Общества;

- физических лиц, являющихся кандидатами на заключение трудового договора с Обществом;

- физических лиц, состоящих с Обществом в гражданско-правовых отношениях;

- физических лиц, являющихся должностными (уполномоченными) лицами юридических лиц, состоящих с Обществом в гражданско-правовых:

- посетителей сайта Общества, клиентов, обратившихся в Общество по телефонам Общества.

3.2.4.Оператор обрабатывает следующие ПД:

- данные, полученные при осуществлении трудовых отношений;

- данные, полученные для осуществления отбора кандидатов на работу;

- данные, полученные через сайт, по телефону или по почте (в т.ч. по адресу электронной почты Общества), включая ФИО, дату рождения, пол, паспортные данные, адрес регистрации по месту жительства, контактные данные (в т.ч. телефон и email), историю обращений; данные файлов cookie, IP-адрес клиента, информацию о браузере и операционной системе; иные ПД, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, отправки уведомлений о предоставляемых услугах, ответов на обращения, а также «информационных и рекламных рассылок», в том числе рекламного характера, с целью уведомления об акциях, товарах, услугах и работах Оператора;

- данные, полученные при осуществлении гражданско-правовых отношений.

3.2.5. Обработка персональных данных ведется для каждой цели их обработки следующими способами:

- с использованием средств автоматизации;

- без использования средств автоматизации.

3.2.6. Оператор не осуществляет обработку специальных категорий персональных данных (например, сведений о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни).

3.3. Хранение ПД

3.3.1. ПД Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах в охраняемых помещениях с ограниченным правом доступа к ним.

3.3.3. ПД Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся раздельно (в разных папках (вкладках)).

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.3.6. Сроки хранения персональных данных определяются в соответствии с законодательством Российской Федерации, а также внутренними нормативными актами Оператора. Для каждого типа данных может быть установлен свой срок хранения, по окончании которого данные подлежат уничтожению.

3.4. Уничтожение ПД

3.4.1. Уничтожение производится внутренней комиссией Оператора. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

3.4.2. Способы уничтожения ПД устанавливаются в локальных нормативных актах Общества.

3.4.3. Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в настоящей Политике, производится в следующих случаях:

- при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено применимыми нормативными правовыми актами РФ;

- при выявлении факта неправомерной обработки персональных данных;

- при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено нормативными правовыми актами РФ;

- при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено нормативными правовыми актами РФ.

3.4.4. Отзыв согласия, запрос или корректировка сведений, предоставленных ранее при согласии на обработку персональных данных, осуществляется одним из следующих способов:

- Обратившись лично или направив соответствующее заявление в офис Общества по месту его нахождения на территории РФ, а также обратившись в Общество по телефонам Общества;

- Направив соответствующее заявление в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, на адрес электронной почты info@eurofilm.ru.

Оператор вправе продолжить обработку ПД Субъекта ПД после отзыва согласия в случаях, приведенных в п. п. 2 - 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.5. Передача ПД

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

- если Субъект выразил свое согласие на такие действия (включая, но не ограничиваясь, передачу партнерам для выполнения заказов, доставки или сервисного обслуживания);

- если передача ПД предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень третьих лиц, которым передаются ПД без согласия и уведомления Субъекта:

- Социальный фонд РФ для учета (на законных основаниях);

- налоговые органы РФ (на законных основаниях);

- Территориальный фонд обязательного медицинского страхования (на законных основаниях);

- страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

- банки для начисления заработной платы (на основании договора);

- органы МВД (в случаях, установленных законодательством);

- иные лица в соответствии с действующим законодательством.

3.5.3. В рамках использования сервисов веб-аналитики исключительно в статистических целях, для анализа способов улучшения качества Продукции, покупательского обслуживания и оказания сопутствующих услуг (сервисов) Оператор может осуществлять передачу обезличенных или технически идентифицируемых данных (включая IP-адрес, данные файлов cookie, сведения о действиях пользователя на Сайте). При этом Оператор принимает разумные меры по защите передаваемых данных.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

4.2. Основными мерами защиты ПД, используемыми Оператором, являются:

4.2.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД.

4.2.2. Разработка политики в отношении обработки персональных данных.

4.2.3. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями.

4.2.4. Использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

4.2.5. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.2.6. Осуществление внутреннего контроля.

5. Основные права субъекта ПД и обязанности оператора

5.1. Основные права субъекта ПД:

5.1.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

5.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.1.3. Дать согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

5.1.4. Обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных.

5.2. Основные обязанности Оператора ПД

5.2.1. При сборе ПД предоставить Субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

5.2.2. В случаях, если ПД были получены не от Субъекта ПД, уведомить об этом Субъекта;

5.2.3. При отказе в предоставлении ПД разъяснить Субъекту последствия такого отказа;

5.2.4. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД;

5.2.5. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД а также от иных неправомерных действий в отношении ПД;

5.2.6. Давать ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав Субъектов ПД.

6. Изменение Политики

6.1. Политика размещается в электронном виде на сайте Оператора по адресу: https://eurofilm.ru/include/privacy-policy.php (далее – Сайт).

6.2. Оператор имеет право вносить изменения в настоящую редакцию Политики. При внесении изменений в заголовке Политики указывается дата последней редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.