Политика конфиденциальности
1. Термины, определения и сокращения
1.1. В настоящей «Частной политике в отношении обработки персональных данных» (далее – Политика, документ) используются следующие термины, определения и сокращения:
блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных) |
браузер | Программное обеспечение, используемое Субъектом персональных данных, для просмотра информации в сети Интернет |
ДМС | Добровольное медицинское страхование |
договор ГПХ | Договор гражданско-правового характера |
Комиссия по уничтожению документов по работе с персональными данными | Комиссия, утвержденная приказом Генерального директора или лица, исполняющего его обязанности в установленном порядке, обязанностью которой является уничтожение персональных данных Субъектов персональных данных Общества в связи с истечением срока хранения, достижением цели обработки персональных данных, утратой необходимости в их достижении либо при наступлении иных законных оснований |
обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных |
Общество | ООО «МультиКарта» |
Оператор персональных данных | Общество, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, а также действия (операции), совершаемые с персональными данными |
предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному физическому или юридическому лицу, или определенному кругу физических или юридических лиц |
персональные данные | Любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных) |
работник | Физическое лицо, вступившее в трудовые отношения с Обществом |
распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
структурные подразделения | Составные части Общества (департамент, управление, служба, отдел, сектор и т.д.), находящиеся во взаимосвязи и соподчиненности и обеспечивающие функционирование и развитие Общества |
Субъект персональных данных | Физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных |
уничтожение персональных данных | Действия, в результате которых невозможно восстановить содержание персональных данных в автоматизированной системе Общества и (или) в результате которых уничтожаются материальные носители персональных данных |
2. Общие положения
2.1. Настоящий документ определяет политику Общества в отношении обработки и обеспечения безопасности персональных данных.
2.2. Настоящая Политика разработана в соответствии с требованиями:
• Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»;
• Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСБ России от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
А также учитывает положения Конституции Российской Федерации, иных нормативных правовых актов Российской Федерации в области обработки персональных данных.
2.3. Настоящая Политика обязательна к исполнению всеми работниками Общества и определяет принципы, цели, условия, категории, способы и сроки обработки персональных данных, перечень Субъектов персональных данных и их права, реализуемые в Обществе требования по защите персональных данных, обрабатываемых Обществом.
2.4. Общество обеспечивает защиту прав и свобод человека и гражданина, как Субъекта персональных данных, при обработке его персональных данных, в частности, защиту прав на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2.5. Персональные данные являются конфиденциальной, строго охраняемой информацией, и на них распространяются все требования, установленные внутренними нормативными и организационно-распорядительными документами Общества к защите конфиденциальной информации.
2.6. Настоящая Политика размещается в общем доступе на сайте Общества; https://multicarta.ru, в том числе на страницах сайта Общества, с использованием которых осуществляется сбор персональных данных.
3. Субъекты персональных данных, категории и состав персональных данных, правовые основания, цели обработки и уничтожение персональных данных
3.1. Субъектами персональных данных, обрабатываемых Обществом, являются:
• работники Общества;
• держатели обрабатываемых банковских карт;
• представители контрагентов;
• индивидуальные предприниматели - контрагенты;
• плательщики налога на профессиональный доход – контрагенты;
• плательщики обрабатываемых платежей;
• клиенты Банка ВТБ (ПАО);
• родственники работников;
• уволенные работники;
• физические лица, выполняющие работы по договорам ГПХ;
• кандидаты на вакантную должность;
• аффилированные с работниками лица;
• посетители Общества;
• посетители сайта Общества.
3.2. Правовым основанием обработки персональных данных в Обществе являются:
• Устав Общества;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон Российской Федерации от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон Российской Федерации от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Приказ Министерства труда и социальной защиты Российской Федерации от 29.10.2021 № 766н «Об утверждении Правил обеспечения работников средствами индивидуальной защиты и смывающими средствами»;
• Приказ Минздравсоцразвития Российской Федерации от 20.04.2006 № 297 «Об утверждении Типовых норм бесплатной выдачи, сертифицированной специальной сигнальной одежды повышенной видимости работникам всех отраслей экономики»;
• Федеральный закон Российской Федерации от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
• Приказ Министерства труда и социальной защиты Российской Федерации №988н, Министерства здравоохранения Российской Федерации № 1420н от 31.12.2020 «Об утверждении перечня вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные медицинские осмотры при поступлении на работу и периодические медицинские осмотры»;
• Приказ Министерства здравоохранения Российской Федерации от 30 мая 2023 №266н «Об утверждении порядка и периодичности проведения предсменных, предрейсовых, послесменных, послерейсовых медицинских осмотров, медицинских осмотров в течение рабочего дня (смены) и перечня включаемых в них исследований»;
• Письмо Министерства здравоохранения Российской Федерации от 21.08. 2003 от 24.01.2014 № 2510/9468-03-32 «О предрейсовых медицинских осмотрах водителей транспортных средств»;
• Приказ Министерства труда и социальной защиты Российской Федерации №33н «Об утверждении Методики проведения специальной оценки условий труда, Классификатора вредных и (или) опасных производственных факторов, формы отчета о проведении специальной оценки условий труда и инструкции по ее заполнению»;
• Приказ Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
• Федеральный закон Российской Федерации от 07.07.2003 № 126-ФЗ «О связи»;
• Федеральный закон Российской Федерации от 02.07.1999 № 176-ФЗ «О почтовой связи»;
• Федеральный закон Российской Федерации от 30.06.2003 № 87-ФЗ «О транспортно-экспедиционной деятельности»;
• Федеральный закон Российской Федерации» от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью;
• трудовые договоры, заключаемые между работниками и Обществом;
• договоры с контрагентами (в том числе с операторами платежных систем);
• согласия Субъектов персональных данных на обработку персональных данных;
• иные основания, не противоречащие законодательству Российской Федерации.
3.3. В Обществе определены следующие цели обработки персональных данных:
• исполнение трудового законодательства Российской Федерации;
• исполнение требований операторов платежных систем;
• отправка отчетности в целях исполнения требований законодательства Российской Федерации;
• обработка запросов из государственных органов;
• обеспечение внутренних трудовых и производственных процессов;
• обеспечение безопасности имущества Общества, а также жизни и здоровья работников;
• организация пропускного и внутриобъектового режима;
• обеспечение непрерывности бизнеса;
• проведение специальной оценки условий труда и измерение производственных факторов среды;
• предоставление информации в военные комиссариаты по вопросам воинского учета и бронирования граждан, пребывающих в запасе Вооруженных сил Российской Федерации;
• обеспечение работников спецодеждой;
• доставка/получение почтовых отправлений;
• предоставление канцелярских товаров работникам;
• заказ служебного автомобиля и корпоративного такси;
• изготовление визитных карточек;
• регистрация входящих/исходящих официальных писем и корреспонденции;
• осуществление внутренних плановых/внеплановых контрольных мероприятий с целью оценки действующей системы внутреннего контроля;
• осуществление кадрового делопроизводства;
• организация обучения;
• проведение предварительных и регулярных медицинских осмотров;
• подключение к корпоративной программе ДМС;
• организация подготовки доверенностей, учет их выдачи инициатору;
• оформление банковских карт;
• перечисление заработной платы;
• заказ авиа- и ж/д билетов, бронирование гостиниц работникам, оформление виз;
• оформление корпоративных сим-карт;
• перевод документов на иностранный язык;
• предоставление социального пакета, предусмотренного законодательством Российской Федерации, а также внутренними нормативными и организационно-распорядительными документами Общества;
• размещение информации о работнике на официальном сайте Общества: https://multicarta.ru;
• организация предрейсового/послерейсового медицинского осмотра;
• разрешение споров, связанных с совершением (отказом от совершения) операций с использованием пластиковых банковских карт;
• управление взаимодействием с контрагентами;
• дистанционное обслуживание держателей банковских карт;
• организация юридически значимого электронного документооборота с контрагентами;
• выпуск сертификатов представителям контрагентов при организации удаленного доступа к сервисам Общества;
• проведение закупок товаров, работ, услуг для нужд Общества в целях обеспечения своевременного и полного удовлетворения потребностей Общества в товарах, работах, услугах, экономически эффективного расходования денежных средств;
• автоматизация документооборота между подразделениями банков и Общества в рамках обслуживания банкоматов, терминалов, POS-терминалов;
• передача информации о платежах по банковским картам и устройствам самообслуживания сторонним сервисам в рамках законодательства Российской Федерации;
• проведение автоматических платежей с расчетного счета клиента Банка «ВТБ» (ПАО);
• заключение договоров ГПХ;
• своевременная оплата при поступлении договора ГПХ в Бухгалтерию Финансового управления Общества и включение в отчетность;
• подбор персонала;
• подключение к корпоративным тарифам и бизнес-группе;
• ознакомление неограниченного круга лиц с информацией о деятельности Общества, организация обратной связи с клиентами и посетителями сайта Общества: https://multicarta.ru, размещение вакансий.
3.4. Общество обрабатывает следующие категории персональных данных: специальные, биометрические, иные, общие.
3.5. Общество обрабатывает следующие персональные данные:
• фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество – в случае их изменения);
• пол;
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, срок действия);
• фотография и видеоизображение. При этом Общество не имеет право отказать Субъекту персональных данных в его намерении не предоставлять Обществу биометрические персональные данные или согласие на обработку биометрических персональных данных, если это не является обязательным в соответствии с положениями Федерального закона Российской Федерации 27.07.2006 №152-ФЗ «О персональных данных»;
• дата рождения;
• место рождения;
• гражданство;
• адрес регистрации и фактического места жительства, а также дата регистрации по месту жительства или по месту пребывания;
• контактные телефоны;
• адрес электронной почты;
• сведения о номере и серии страхового свидетельства обязательного пенсионного страхования (СНИЛС);
• сведения об идентификационном номере налогоплательщика (ИНН);
• сведения о воинском учете (отношение к воинской обязанности, категория запаса, воинское звание, состав (профиль), военно-учетная специальность, категория годности к военной службе, наименование военного комиссариата по месту жительства, сведения о состоянии на воинском учете);
• сведения об образовании (наименование среднего учебного заведения и год окончания; наименования и местоположения высших и иных учебных заведений, дата поступления и окончания, квалификация и специальность; наименование выдавшей организации, серия, номер, дата выдачи и срок действия квалификационных аттестатов/зарубежных сертификатов);
• ученая степень, звание и год присвоения;
• сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения);
• сведения о знании иностранных языков (наименование языка, степень владения);
• сведения о наличии научных трудов и изобретений;
• сведения о государственных наградах и почетных званиях (наименование, год вручения/присвоения);
• сведения об опыте работы (опыт руководящей работы за последние пять лет: наименование организации, количество работников прямого подчинения; опыт работы за границей: наименование организации, период работы, должность);
• сведения о предыдущих местах работы, в том числе на должности государственного или муниципального служащего (в объеме и целях, установленных Постановлением Правительства Российской Федерации от 21.01.2015 №29): дата приема и увольнения, должность, наименование и местоположение организации, причина увольнения;
• сведения об аттестации;
• сведения о заработной плате (в том числе, сумма заработанной платы, категория/базовый коэффициент премирования);
• номер расчетного счета;
• табельный номер;
• должность;
• структурное подразделение;
• наименование места работы;
• вид занятости;
• профессия;
• характер и вид работы;
• факт нахождения в отпуске по беременности и родам, в отпуске по уходу за ребенком;
• признак территориальной обособленности (прикрепление работника к офису с указанием адреса офиса);
• страховой стаж для оплаты больничных листов;
• сведения о временной нетрудоспособности;
• сведения о состоянии здоровья (показатели давления, алкометрия, сведения о сне и самочувствии – только для работников - водителей);
• сведения о социальных льготах, на которые работник имеет право, в том числе сведения справки об инвалидности (дата выдачи, период действия);
• сведения об уплаченных налогах, начисленных и уплаченных страховых взносах;
• сведения о наградах (поощрениях), премиях, надбавках;
• сведения о предоставляемом отпуске (дата начала и окончания отпуска, период отпуска);
• сведения о семейном положении, в том числе дате вступления в брак;
• наличие детей и их возраст (включая дату рождения);
• данные заграничного паспорта;
• сведения о командировках (период командировки, цель командировки);
• информация о поездке при оформлении такси;
• лимиты расходов на мобильную связь;
• номер полиса ДМС;
• рост и размер одежды, обуви, головного убора, противогаза, респиратора, рукавиц, перчаток;
• сведения о вхождении в коллегиальные органы управления юридическими лицами (да/нет, наименование и местонахождение юридического лица, должность);
• номер банковской карты;
• сведения, содержащиеся в платежных документах жилищно-коммунального хозяйства;
• сведения об имуществе;
• сведения о штрафах государственной инспекции безопасности дорожного движения;
• выписки по состоянию счетов банковских карт с доступными остатками;
• адрес, куда необходимо доставить или откуда забрать отправление;
• уровень владения компьютером;
• краткая биографическая справка, профессиональные успехи и заслуги, информация об участии в проектах, касающихся профессиональной деятельности;
• cookie-файлы.
• код страны;
• область/район;
• город/село.
В составе системы учета и технического обслуживания, в том числе:
• № доверенности;
• № служебного удостоверения инкассатора;
• адрес установки POS-терминала;
• данные автотранспорта (марка, модель, государственный номер);
• код инженера в Service Desk;
• статус инкассатора (новый/согласован/доступ запрещен/на согласовании/исключен Обществом);
• статус инженера (новый/согласован, дата согласования /доступ запрещен/на согласовании/исключен Обществом);
• основной государственный регистрационный номер индивидуального предпринимателя.
В составе длинной записи финансовой транзакции (addendum):
• имя держателя карты (Cardholder name);
• номер карты;
• сумма транзакции;
• баланс банковского карточного счета;
• дата открытия и закрытия карточного счета;
• номер бронирования авиационного билета;
• номер авиационного билета;
• номер авиационного рейса;
• дата и время вылета в авиационном билете;
• дата и время прилета в авиационном билете;
• страна, код города/аэропорта отправления;
• страна, код города/аэропорта назначения;
• запланированная дата прибытия (при аренде жилья);
• код дополнительных сборов при аренде жилья (ресторан, магазин сувениров, мини-бар, телефон, прачечная и другие);
• стоимость аренды жилья (в том числе дневная стоимость аренды, расходы на еду и напитки, размер налоговых отчислений);
• количество оплачиваемых ночей (при аренде жилья);
• количество дней аренды транспортного средства;
• код дополнительных сборов при аренде транспортного средства (топливо, дополнительный пробег, позднее возвращение, плата за сервис «в один конец», нарушение правил парковки);
• страховые, топливные сборы, сбор за сервис «в один конец» при аренде транспортного средства;
• дата получения арендованного транспортного средства;
• арендная ставка (дневная или недельная) для транспортного средства;
• наименование арендодателя транспортного средства;
• финансовый институт – эмитент;
• сумма задолженности поставщикам услуг;
• данные водительского удостоверения.
При оплате государственных услуг:
• идентификатор плательщика (ИП):
• уникальный идентификатора начисления (УИН);
• уникальный идентификатор платежа (УИП);
• сумма платежа/задолженности;
• серия и номер свидетельства о регистрации транспортного средства.
При подписке на услугу проведения автоматических платежей:
• номер мастер счета ВТБ клиента Банка ВТБ (ПАО);
• сумма подписки клиента Банка ВТБ (ПАО).
3.6. Соответствие целей обработки персональных данных категориям и перечням обрабатываемых персональных данных, категориям субъектов, персональные данные которых обрабатываются, способам и срокам их обработки (хранения) определены внутренним нормативным документом Общества «Перечень персональных данных, обрабатываемых в ООО «МультиКарта».
3.7. Уничтожение носителей информации, содержащих персональные данные, осуществляется:
• Комиссией по уничтожению документов по работе с персональными данными Общества после получения Ответственным по персональным данным оповещения по корпоративной электронной почте или служебной записки о необходимости уничтожения персональных данных от работников Общества, осуществляющих обработку персональных данных, с составлением соответствующего акта об уничтожении;
• работниками архивной компании, с которой Обществом заключен договор на архивное хранение и уничтожение документов, с составлением соответствующего акта.
4. Принципы обработки персональных данных
4.1. При обработке персональных данных Общество придерживается следующих принципов:
• осуществляет обработку персональных данных только на законной и справедливой основе;
• не раскрывает третьим лицам и не распространяет персональные данные без согласия работника (если иное не предусмотрено действующим законодательством Российской Федерации);
• определяет конкретные законные цели до начала обработки (в том числе сбора) персональных данных;
• собирает только те персональные данные, которые являются необходимыми и достаточными для заявленной цели обработки;
• ограничивает обработку персональных данных в Обществе при достижении конкретных, заранее определенных и законных целей;
• производит уничтожение персональных данных по достижению целей обработки или в случае утраты необходимости в достижении целей1.
5. Условия, способы и сроки обработки персональных данных
5.1. Обработка персональных данных в Обществе осуществляется только с согласия Субъекта персональных данных на обработку его персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации в области персональных данных).
5.2. В Обществе не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.3. Общество обрабатывает персональные данные о состоянии здоровья только в объеме, необходимом в целях соблюдения трудового законодательства Российской Федерации, и исполнения функций в случае подключения ДМС.
5.4. Обработка биометрических персональных данных может осуществляться Обществом только на основании письменного согласия Субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.
5.5. Общество не осуществляет трансграничную передачу персональных данных.
5.6. Общество не раскрывает, не передает третьим лицам и не распространяет персональные данные без согласия Субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации в области персональных данных).
5.7. Общество не размещает персональные данные Субъекта персональных данных в общедоступных источниках без согласия Субъекта персональных данных на распространение, полученного в соответствии с требованиями статьи 10.1 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных».
5.8. Общество вправе поручить обработку персональных данных Субъекта персональных данных третьим лицам с согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этими лицами договора (далее – договор поручения ).
5.9. Лица, осуществляющие обработку персональных данных на основании заключаемого с Обществом договора поручения, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных». Для каждого третьего лица (указывается конкретное наименование и местонахождение соответствующих третьих лиц) в договоре поручения определяются перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных, цели обработки персональных данных, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных, обязанность по запросу Общества в течение срока действия поручения, в том числе до начала обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Общества требований, установленных Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», обязанность обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, а также требование об уведомлении Общества в случае установления факта случайной или неправомерной передачи персональных данных работников Общества, повлекшее нарушение их прав.
5.10. В случае если Общество поручает обработку персональных данных другому лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по договору поручения, несет ответственность перед Обществом.
5.11. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, уполномоченным приказом Генерального директора Общества или лица, исполняющего его обязанности в установленном порядке.
5.12. Общество, являясь Оператором персональных данных, осуществляет обработку персональных данных следующими способами:
• с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
• без использования средств автоматизации.
5.13. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение персональных данных.
5.14. Сроки обработки персональных данных в Обществе определяются в соответствии с:
• установленными целями обработки персональных данных, со сроком, указанным в согласии Субъекта персональных данных;
• сроком действия договоров, стороной в которых либо выгодоприобретателем или поручителем, по которым выступает Субъект персональных данных, и договоров, заключенных по инициативе Субъекта персональных данных;
• Приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
• сроком исковой давности;
• иными требованиями законодательства Российской Федерации, внутренними нормативными и организационно-распорядительными документами Общества.
5.15. В Обществе создаются и хранятся типовые формы документов, содержащих сведения о Субъектах персональных данных, требования к использованию которых установлены Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.16. При осуществлении хранения персональных данных, обрабатываемых с использованием средств автоматизации, Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных».
6. Защита персональных данных
6.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
6.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
6.3. Защита персональных данных - совокупность мероприятий, направленных на обеспечение безопасности этих данных в процессе управленческой и производственной деятельности Общества.
6.4. Для защиты персональных данных в Обществе установлены следующие меры:
• ограничение и регламентация состава работников, исполнение функциональных обязанностей которых невозможно без доступа к персональным данным;
• строгое избирательное и обоснованное распределение документов и информации между работниками;
• рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации;
• знание работниками требований внутренних нормативных организационно-распорядительных документов Общества по вопросам обеспечения защиты конфиденциальной информации;
• наличие необходимых условий в помещениях Общества для работы с конфиденциальными документами и информационными системами, содержащими персональные данные;
• организация порядка уничтожения информации, содержащей персональные данные;
• своевременное выявление нарушения требований разрешительной системы доступа работниками структурных подразделений Общества к информации, содержащей персональные данные;
• разъяснительная работа с работниками Общества по предупреждению угроз или опасности утраты персональных данных;
• персональные компьютеры работников Общества защищены паролями доступа;
• определение порядка приема, учета и контроля режима нахождения на территории Общества посетителей;
• организация пропускного режима в Обществе;
• организация порядка охраны территории, зданий, помещений, транспортных средств Общества.
6.5. Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение сведениями, содержащими персональные данные, и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
6.6. Информация о средствах защиты персональных данных работников Общества является конфиденциальной.
6.7. Работникам Общества запрещено информировать посторонних лиц о распределении функций, рабочих процессов, технологий составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные.
7. Использование файлов «cookie» и web-сайта Общества
7.1. Общество получает персональные данные с помощью сети Интернет двумя основными способами:
• предоставление персональных данных Субъектами персональных данных путем заполнения соответствующих форм на официальном сайте Общества https://multicarta.ru и посредством направления электронных писем на корпоративные адреса Общества;
• автоматически собираемая информация:
• IP-адреса. IP-адрес представляет собой адрес, присвоенный компьютеру для доступа в сеть Интернет. Все компьютеры идентифицируются в сети Интернет для связи с серверами и другими компьютерами посредством IP-адреса. Общество собирает IP-адреса для системного администрирования и сводных отчетов, используя аналитику сервиса для повышения качества.
• cookie-файлы. Сookie – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, cookie – это уникальный идентификатор браузера для веб-сайта. Cookie-файлы дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование cookies, однако можно изменить настройки для отказа от работы с cookies или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа cookies в браузере будет запрещена. Обрабатываемые в Обществе cookie-файлы приведены в следующей таблице:
Владелец | Имя cookie | Ресурс | Описание цели обработки | Срок действия |
Строго необходимые cookies | ||||
.multicarta.ru | PHPSESSID | Bitrix | Хранит информацию об уникальном идентификаторе сессии пользователя сайта | Сессион-ный |
.multicarta.ru | BX_USER_ID | Bitrix | Хранит информацию об уникальном идентификаторе неавторизированного пользователя сайта | 10 лет |
.multicarta.ru | BITRIX_SM_GUEST_ID | Bitrix | Хранит информацию об уникальном идентификаторе авторизированного пользователя сайта | 1 год |
.multicarta.ru | BITRIX_SM_LAST_VISIT | Bitrix | Хранит время последнего посещения пользователем сайта | 1 год |
.multicarta.ru | BITRIX_SM_LOGIN | Bitrix | Хранит информацию о логине пользователя сайта | 5 лет |
Производительные cookies | ||||
.multicarta.ru | _ym_uid | Яндекс.Метрика | Содержит идентификатор пользователя | 1 год |
.multicarta.ru | _ym_isad | Яндекс.Метрика | Используется для определения наличия у посетителя блокировщиков рекламы | 2 дня |
.multicarta.ru | _ym_d | Яндекс.Метрика | Содержит дату первого посещения сайта посетителем | 1 год |
.multicarta.ru | _ym_visorc_XXXXXXXX | Яндекс.Метрика | Содержит идентификатор Вебвизора и используется для корректной работы Вебвизора | 30 минут |
7.3. Пользователь сайта Общества может самостоятельно управлять настройкой cookie-файлов в используемом им браузере. Используемый браузер может позволять удалять, блокировать или иным образом ограничивать использование cookie-файлов.
7.4. Общество обрабатывает cookie-файлы пользователей в случае, если это разрешено в настройках браузера пользователя (включено сохранение файлов «cookie»).
7.5. В случае сбора персональных данных на сайте Общества путем заполнения пользователем типовых форм, пользователю предоставляется возможность ознакомиться с условиями сбора информации (правил/политик конфиденциальности) и проставить отметку в соответствующем поле в подтверждение того, что он ознакомлен с настоящими условиями и дает свое согласие на обработку персональных данных.
8. Права и обязанности Общества, как Оператора персональных данных, и Субъектов персональных данных
8.1. Общество имеет право:
• предоставлять персональные данные Субъектов персональных данных государственным и иным уполномоченным органам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать персональные данные Субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации.
8.2. Общество обязано:
• предоставлять Субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»;
• разъяснить Субъекту персональных данных юридические последствия его отказа в предоставлении Обществу своих персональных данных при условии, что предоставление Субъектом персональных данных своих персональных данных Обществу является обязательным в соответствии с законодательством Российской Федерации;
• в случае получения персональных данных не от Субъекта персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», до начала обработки таких персональных данных предоставить Субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) перечень персональных данных;
4) предполагаемые пользователи персональных данных;
5) установленные Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» права Субъекта персональных данных;
6) источник получения персональных данных;
• при сборе персональных данных Субъектов персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных».
8.3. Субъект персональных данных имеет право:
• получать от Общества:
• подтверждение факта обработки его персональных данных Обществом;
• сведения о правовых основаниях и целях обработки его персональных данных;
• сведения о применяемых Обществом способах обработки персональных данных;
• сведения о наименовании и местонахождении Оператора персональных данных, а также сведения о лицах (за исключением работников Оператора персональных данных), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона Российской Федерации № 152-ФЗ «О персональных данных»;
• перечень обрабатываемых персональных данных, относящихся к соответствующему Субъекту персональных данных, и информацию об источнике их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
• сведения о сроках обработки его персональных данных, в том числе о сроках их хранения;
• информацию об осуществленной или о предполагаемой трансграничной передаче его персональных данных;
• сведения о порядке осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»;
• фамилию, имя, отчество, либо наименование и адрес лица, осуществляющего обработку персональных данных по поручению Общества;
• разъяснения юридических последствий отказа в предоставлении Обществу своих персональных данных при условии, что предоставление Субъектом персональных данных своих персональных данных Обществу является обязательным в соответствии с законодательством Российской Федерации;
• иные сведения, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» или другими законодательными актами Российской Федерации;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• отозвать свое согласие на обработку персональных данных;
• обжаловать неправомерные действия или бездействие при обработке персональных данных в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8.4. Субъект персональных данных обязан:
• сообщать Обществу достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации в объеме, необходимом для цели обработки;
• сообщать в Общество об уточнении (обновлении, изменении) своих персональных данных.
9. Реагирование на запросы Субъектов персональных данных
9.1. В соответствии с законодательством Российской Федерации Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Также, если Субъект персональных данных хочет исправить, дополнить или удалить любые неполные, неточные или устаревшие персональные данные, либо хочет запросить прекращение обработки Обществом его персональных данных, либо имеет другие законные требования, он может обратиться в Общество, составив соответствующий запрос.
9.2. Согласно положениям Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», определяющим порядок направления Субъектом персональных данных запроса на предоставление вышеуказанных сведений, такой запрос должен содержать, в частности:
• серию, номер документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
• подпись Субъекта персональных данных (его представителя);
• в случае, если запрос направлен представителем Субъекта персональных данных, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
9.3. В случае если запрос отправляется в электронном виде, то он должен быть подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Ответ на запрос Субъекта персональных данных предоставляется Обществом в сроки, определенные положениями Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» и в той форме, в которой был направлен соответствующий запрос, если иное не указано в запросе.
9.5. Контакты Общества для обращения Субъектов персональных данных по вопросам обработки персональных данных: 109147, г. Москва, ул. Воронцовская д.43 стр.1, тел.: +7(495) 784-60-55, e-mail: info@multicarta.ru.
10. Заключительные положения
10.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном web-сайте Общества: https://multicarta.ru.
10.2. Действующая редакция настоящей Политики на бумажном носителе хранится по адресу нахождения Общества: 109147, г. Москва, ул. Воронцовская д.43 стр.1.
10.3. Настоящая Политика подлежит изменению, дополнению в следующих случаях:
• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
• в случаях получения предписаний на устранение несоответствий, затрагивающих область действия настоящей Политики;
• по решению руководства Общества;
• при изменении целей обработки персональных данных;
• при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);
• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества.
10.4. В случае неисполнения положений настоящей Политики Общество несет ответственность в соответствии с законодательством Российской Федерации.
10.5. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными и организационно-распорядительными документами Общества.