Политика конфиденциальности | MD Audit






Политика конфиденциальности ООО «МД Аудит»

(утверждена приказом генерального директора ООО «МД Аудит» №МДА-2022/08-01 от 08 августа 2022 г.)

Дата публикации: 08 августа 2022 г.


1. Общие положения

1.1. Настоящая политика конфиденциальности (далее – «Политика») является внутренним нормативным документом Общества с ограниченной ответственностью «МД Аудит» ОГРН 1197746211684, ИНН 9731034717, КПП 773101001 (далее – «Общество»), определяющим общие положения Общества в области правомерности обработки и обеспечения безопасности обрабатываемых персональных данных.

1.2. Настоящая Политика является обязательной для исполнения всеми работниками Общества в области обработки персональных данных и действует в отношении всех персональных данных, которые Общество может получить как от субъекта персональных данных, так и на основании договоров поручения на обработку персональных данных, заключаемых Клиентом в целях получения услуг Общества.

1.3. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Конституции Российской Федерации, Трудового Кодекса Российской Федерации от 30.12.2001 № 197-ФЗ, Гражданского кодекса Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ, Налогового кодекса Российской Федерации (часть первая) от 31.07.1998 № 146-ФЗ, Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Обществом.

1.4. Общество обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.5. Действие настоящей Политики распространяется на отношения, возникающие при обработке персональных данных сотрудников Общества, бывших сотрудников Общества, соискателей вакантных должностей Общества, физических лиц, состоящих в гражданско-правовых отношениях с Обществом, а также на информацию, обрабатываемой в ходе использования Сайта и/или Системы. Общество не контролирует и не несет ответственность за обработку информации сайтами и сервисами третьих лиц, на которые Посетители сайтов (далее – «Посетители») и Пользователи могут перейти по ссылкам, доступным внутри Сайта и/или Системы.

1.6. Общество не проверяет достоверность персональных данных, предоставляемых Посетителем или Пользователем, и не имеет возможности оценивать его дееспособность. Однако, Общество исходит из того, что посетители и Пользователи предоставляют достоверные и достаточные персональные данные и поддерживают их в актуальном состоянии.

2. Термины и принятые сокращения

2.1. Администратор Клиента - физическое лицо, наделенное Клиентом правом регистрации Пользователей Системы.

2.2. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.3. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.4. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Клиент – индивидуальные предприниматели, юридические лица или группа лиц, использующие Систему по ее функциональному назначению в рамках облачных решений (включая пилотные решения).

2.6. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе трансграничную, обезличивание, блокирование, удаление, уничтожение.

2.8. Обработчик – лицо, получившее от Оператора поручение на обработку персональных данных.

2.9. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.10. Персональные данные (далее - «ПД») – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).

2.11. Пользователь Системы – физическое лицо, использующее Систему и/или данные которого заносятся в Систему, в частности работники Клиентов, иные лица, действующих от лица Клиента, а также третьи лица, которые вводятся в Систему Клиентом или по его поручению, третье лицо, выступающее от имени Клиента, администратор Клиента, физическое лицо, использующее Систему по ее функциональному назначению в демонстрационных проектах, пилотных доступах, тестировании Системы и в иных случаях.

2.12. Посетители – пользователи Сайта.

2.13. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.14. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.15. Работники (работники Компании) – штатные работники Компании с полной или частичной занятостью, независимо от их должности в Компании;

2.16. Система – программа для ЭВМ «MD AUDIT», текущий релиз автоматизированной системы проведения аудита торговых точек и помещений для розничных сетей, под названием: Система «MD AUDIT» (далее – «Система»).

Система позволяет вносить, хранить и обрабатывать информацию о результатах проверки одного или нескольких Объектов сети Клиента. Результаты проверки вносятся пользователями в Систему путем заполнения чек-листов и загрузки фотографий через клиентскую часть, установленную на мобильном устройстве.

Стандартная функциональность Системы позволяет Клиенту выполнять следующие операции: планирование проверки объектов, создание контрольных форм и сценариев для проверки, единый репозиторий процессов и зон проверяемых объектов, заполнение чек-листов и отправка результатов, формирование аналитической отчетности.

Программное обеспечение Системы, за исключением клиентской части, расположено на серверах или иных средствах накопления информации Общества. Взаимодействие с Пользователями Системы осуществляется через веб-интерфейс по адресу: https://_____.mdaudit.ru/ и/или посредством мобильных приложений для носимых устройств, доступных для скачивания в магазинах приложений по адресам:

2.17. Сайт - сайт Общества, размещенный по адресу: https://mdaudit.ru.

2.18. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.19. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Неполные или неточные данные подлежат удалению или уточнению.

3.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.8. Общество не обрабатывает специальные категории персональных данных Пользователей.

3.9. Общество не обрабатывает биометрические категории персональных данных Пользователей.

3.10. Общество никому не продает и не распространяет персональные данные.

3.11. Общество имеет право раскрывать персональные данные в следующих случаях:

3.11.1. Субъект персональных данных соглашается с раскрытием информации.

3.11.2. Этого требует применимое законодательство.

4. Правовые основания

4.1. Трудовой Кодекс Российской Федерации от 30.12.2001 № 197-ФЗ.

4.2. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ.

4.3. Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 № 146-ФЗ.

4.4. Федеральный закон № 402-ФЗ от 06.12.2011 «О бухгалтерском учете».

4.5. Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».

4.6. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

4.7. Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования».

4.8. Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством».

4.9. Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний».

4.10. Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе».

4.11. Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации».

4.12. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.13. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

4.14. Постановление Правительства РФ от 16.04.2003 № 225 «О трудовых книжках».

4.15. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете».

4.16. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4.17. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

4.18. Согласие субъектов на обработку их персональных данных; политикой в отношении обработки персональных данных.

4.19. Федеральный закон 152-ФЗ от 27.07.2006 года «О персональных данных».

4.20. Договоры, содержащие условия о порядке обработки и сохранения конфиденциальности полученных ПД.

4.21. Пользовательские соглашения.

4.22. Договоры с контрагентами.

4.23. Согласия субъектов персональных данных.

4.24. Политика конфиденциальности.

5. Категории субъектов персональных данных.

5.1. Субъекты персональных данных подразделяется на следующие категории лиц:

5.1.1. Работники, имеющие договорные отношения с Обществом.

5.1.2. Бывшие работники Общества;

5.1.3. Соискатели работы;

5.1.4. Физические лица, состоящие в гражданско-правовых отношениях с Обществом;

5.1.5. Пользователи (посетители) Сайта;

5.1.6. Физические лица – Пользователи Системы.

6. Объем и категории обрабатываемых ПД

6.1. Категория 1: Работники, имеющие договорные отношения с Обществом, Категория 2: бывшие работники Общества.

Обрабатываемые персональные данные для Категории 1, Категории 2:

6.2. Категория 3: Соискатели работы.

Обрабатываемые персональные данные для Категории 3:

6.3. Категория 4: Физические лица, состоящие в гражданско-правовых отношениях с Обществом.

Обрабатываемые персональные данные для Категории 4:

6.4. Категория 5: Посетители Сайта.

Обрабатываемые персональные данные для Категории 5:

6.5. Категория 6: Пользователи Системы.

Персональные данные лиц категории 6, обрабатываемые Обществом:

Общество обрабатывает персональные данные из вышеуказанного списка в качестве Обработчика исключительно по поручению Клиента, являющегося Оператором персональных данных. Клиент самостоятельно определяет виды обрабатываемых персональных данных из вышеуказанного списка, цели и сроки их обработки, которые указываются в соответствующем поручении на обработку данных.

Согласно п.5. ст.6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

7. Цели обработки персональных данных

7.1. Цели обработки персональных данных лиц Категории 1:

7.1.1. Заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и работодателем.

7.1.2. Исполнение работодателем обязательств, предусмотренных локальными нормативными актами, трудовыми договорами, федеральным законодательством и иными нормативными правовыми актами, в том числе в целях ведения кадрового и бухгалтерского учета, составления налоговой отчетности.

7.1.3. Содействие работникам в обучении и продвижения по службе.

7.1.4. Обеспечения личной безопасности работников,

7.1.5. Контроля количества и качества выполняемой работником работы.

7.1.6. Обеспечение сохранности имущества.

7.1.7. Соблюдение и (или) исполнение процедур и действий, предусмотренных локальными нормативными актами и (или) законодательством Российской Федерации, в том числе в целях ведения бухгалтерского учета, составления налоговой отчетности.

7.1.8. Ведения кадрового резерва.

7.2. Цели обработки персональных данных лиц Категории 2:

7.2.1. Для осуществления и выполнения возложенных законодательством Российской Федерации на Общества функций, полномочий и обязанностей.

7.3. Цели обработки персональных данных лиц Категории 3:

7.3.1. Рассмотрение резюме и подбора кандидатов на вакантную должность для дальнейшего трудоустройства.

7.3.2. Ведение кадрового резерва.

7.3.3. Получение информации об опыте, навыках и личностных качествах соискателя на вакантную должность.

7.3.4. Подтверждение информации и данных, содержащихся в полученных от соискателя на вакантную должность письменных рекомендациях.

7.3.5. Получение иной информации о соискателе на вакантную должность.

7.3.6. Предложение открытых в Обществе вакансий.

7.4. Цели обработки персональных данных лиц Категории 4:

7.4.1. Обеспечение соблюдения законов и иных нормативных правовых актов.

7.4.2. Заключение, изменение, расторжение договоров на получение услуг Обществом.

7.4.3. Содействие выполнения договорных обязательств в соответствии с законодательством Российской Федерации.

7.4.4. Выполнение обязательств по заключенным договорам.

7.4.5. Соблюдение и/или исполнение процедур и действий, предусмотренных локальными нормативными актами и/или законодательством Российской Федерации.

7.4.6. Ведение бухгалтерского учета Обществом.

7.4.7. Составление налоговой отчетности Обществом.

7.5. Цели обработки персональных данных лиц Категории 5:

7.5.1. Предоставление доступа к информации и услугам, представленным на Сайте.

7.5.2. Предоставление субъектам персональных данных возможности взаимодействовать с Сайтом, в частности, направлять уведомления, запросы Обществу.

7.5.3. Получение субъектами персональных данных обратной связи от Общества через Сайт, в том числе, уведомлений, ответов, предложений Общества, демонстрации продуктов и/или услуг Общества.

7.5.4. Получение консультации по использованию продуктов и/или услуг Общества.

7.5.5. Получение субъектами персональных данных новых предложений о продуктах/услугах Общества.

7.5.6. Поддержание безопасности, надежности и обеспечения бесперебойной работы Сайта.

7.5.7. Анализ данных и отчётности.

7.5.8. Оценка и повышение интереса к продуктам/услугам Общества.

7.5.9. Маркетинговые цели.

7.5.10. Обнаружение, предотвращение и решение технических проблем Сайта.

7.5.11. Управление Сайтом в контексте внутренней деятельности, включая поиск и устранение неисправностей, анализ данных, тестирование, исследование, сбор статистики.

7.6. Цели обработки персональных данных лиц Категории 6, указанные в п.6.5. Политики:

7.6.1. Реализация функциональных возможностей Системы в рамках исполнения договоров, заключенных с Клиентами, в частности:

- Предоставление Клиенту доступа к Системе.

- Обеспечение сотрудникам Клиента и/или третьим лицам, выступающих от имени Клиента возможности взаимодействовать с Системой, в частности, получать доступ и осуществлять регистрацию в Системе, направлять уведомления, запросы Обществу.

- Получение Пользователями обратной связи от Общества и от Клиента, в том числе, уведомлений, ответов, предложений.

- Получение сотрудниками Клиента технической поддержки по использованию Системы.

- Хранение данных Клиента, внесенных субъектами персональных данных в Систему, на сервере Общества.

- Представление Клиенту внесенной информации в виде аналитических данных и отображения результатов проверок в мобильных устройствах и браузере для пользователей Системы.

- Отображение данных субъекта персональных данных в интерфейсе пользователя в Мобильном приложении.

7.6.2. Иные цели, прямо указанные в поручении Клиента на обработку.

8. Порядок и условия обработки персональных данных

8.1. Сбор персональных данных.

8.1.1. Персональные данные получаются непосредственно от субъекта либо от Клиента рамках поручения на обработку персональных данных в целях получения услуг Общества.

8.1.2. Общество начинает обработку персональных данных Субъекта с момента получения его согласия либо с момента заключения с Клиентом договора поручения, содержащего условия о порядке обработки и сохранения конфиденциальности полученных персональных данных.

8.1.3. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий.

8.1.4. В частности, согласие на обработку персональных данных считается предоставленным Субъектом персональных данных посредством совершения Субъектом персональных данных следующих конклюдентных действий на Сайте и/или в Системе: проставление «галочки» в специальном поле при регистрации и нажатии кнопки «Согласен(-на) с Политикой конфиденциальности» в Системе и/или на Сайте.

8.1.5. Согласие на трансграничную передачу персональных данных в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, в такую как Соединенные Штаты Америки дается посредством:

А)введения в специальном поле при регистрации комбинации из логина (электронная почта) и пароля и нажатии кнопки «Согласен(-на) с Политикой конфиденциальности» что приравнивается к бумажному документу, подписанному собственноручно, либо

Б) подтверждения согласия на трансграничную обработку персональных данных путем выражения своего желания через нажатие на ссылку подтверждения согласия в сообщении, отправленном на указанную им электронную почту, и нажатии кнопки «Согласен(-на) с Политикой конфиденциальности» что приравнивается к бумажному документу, подписанному собственноручно.

8.1.5.1. Общество сообщает субъекту ПД о целях обработки, предполагаемых источниках и способах их получения, характере подлежащих получению ПД, перечне действий с ними, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать согласие на их получение.

8.1.5.2. В случае отсутствия согласия Субъекта на обработку его персональных данных такая обработка не осуществляется.

8.1.5.3. Получение Обществом персональных данных от иных лиц, а равно передача поручения по обработке персональных данных осуществляется на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных персональных данных. В этом случае Общество является Обработчиком персональных данных, а Клиент и/или лицо, уполномоченное им и действующее от его имени, Оператором, которое организует и осуществляет обработку персональных данных и определяет: цели обработки и состав персональных данных, подлежащих обработке, а также действия (операции), совершаемые с персональными данными. Ответственность перед субъектами персональных данных, равно как за сбор согласий субъектов персональных данных, обработку которых Клиент поручает Обществу, несет Клиент.

8.1.6. Документы, содержащие персональные данные, создаются путем:

9. Действия, осуществляемые с персональными данными

9.1. Обработка персональных данных ведется с использованием средств автоматизации, а также без использования таких средств.

9.2. Способы обработки ПД включают осуществление любых действий с персональными данными в соответствии с действующим законодательством РФ, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе трансграничную в страну, не обеспечивающую адекватный уровень защиты прав субъектов персональных данных, а именно Соединенные Штаты Америки, обезличивание, блокирование, удаление, уничтожение.

10. Местонахождение Баз данных информации, содержащих персональные данные граждан Российской Федерации

10.1. Базы данных информации, содержащих персональные данные граждан Российской Федерации, размещаются на территории Российской Федерации.

11. Хранение персональных данных.

11.1. Хранение персональных данных субъектов персональных данных лиц Категории 1 и Категории 2.

11.1.1. Хранение персональных данных субъектов персональных данных Категории 1 и Категории 2 осуществляется в сроки, предусмотренные федеральным законодательством, в том числе в рамках бухгалтерского и налогового учета.

11.1.2. Анкета сотрудника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным сотрудника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер по расчету заработной платы.

11.1.3. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Доступ к ним имеет главный бухгалтер Общества и бухгалтер по расчету заработной платы.

11.1.4. Персональные данные сотрудников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные сотрудников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются системным администратором организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным сотрудников.

11.1.5. Доступ к персональным данным сотрудника имеют руководитель Общества, менеджер по работе с персоналом, специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

11.1.6. Копировать и делать выписки из персональных данных сотрудника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

11.1.7. Сотрудник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные сотрудником, с имеющимися у сотрудника документами.

11.2. Хранение персональных данных субъектов ПД категории 3.

11.2.1. Обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников.

11.2.2. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа, либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.

11.2.3. Хранение осуществляется с момента представления согласия на обработку персональных данных субъектом персональных данных до достижения целей обработки, если в более ранние сроки субъект ПД не отозвал согласие.

11.2.4. В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 (тридцати) дней.

11.2.5. В случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных Общество прекращает обработку персональных данных в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, прекратить их обработку.

11.3. Хранение персональных данных субъектов ПД Категории 4.

11.3.1. Персональные данные субъекта персональных данных Категории 4 относятся к категории конфиденциальной информации.

11.3.2. При идентификации субъекта персональных данных Категории 4 Общество требует предъявление документов, удостоверяющих личность и подтверждающих полномочия представителя.

11.3.3. При заключении договора, как и в ходе его исполнения, в случае возникновения необходимости, Общество может потребовать предоставление Обществом иных документов, содержащих информацию о нем, в целях выполнения требований законодательства РФ о проявлении должной осмотрительности при выборе контрагента.

11.3.4. После принятия решения о заключении договора или предоставления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, персональные данные субъекта ПД Категории 4, также будут включены в договоры и иные документы, включение в которые персональных данных Контрагента необходимо согласно действующему законодательству Российской Федерации (накладные, акты, отчеты и т.д.).

11.3.5. Сведения о субъектах персональных данных Категории 4 на бумажных носителях хранятся в помещениях Общества. Для хранения носителей используются шкафы (ящики), расположенные внутри контролируемой зоны Общества.

11.3.6. Обязанности по хранению документов, в которых содержатся персональные данные возлагаются на руководителей структурных подразделений, в которых обрабатывается информация.

11.3.7. Ключи от шкафов/ящиков (при наличии), в которых хранятся носители персональных данных, находятся у работника, обрабатывающего данную информацию.

11.3.8. Персональные данные лиц Категории 4 могут храниться также в электронном виде – на электронных носителях информации, доступ к которым ограничен.

11.3.9. Доступ к персональным данным субъекта персональных данных Категории 4 без специального разрешения имеют генеральный директор Общества и Главный бухгалтер иные работники согласно их трудовым функциям.

11.3.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации, вышеуказанные персональные данные уничтожаются.

11.4. Хранение персональных данных субъектов персональных данных лиц Категории 5.

11.4.1. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.

11.4.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

11.4.3. Хранение ПД Категории 5 осуществляется в CRM Битрикс24.

11.5. Хранение персональных данных субъектов ПД Категории 6.

11.5.1. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.

11.5.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

11.5.3. Базы данных информации, содержащих персональные данные граждан Российской Федерации, размещаются на территории Российской Федерации.

12. Сроки обработки персональных данных

12.1. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

12.2. Для персональных данных лиц Категории 1, Категории 2, Категории 4 в течение сроков, определенных Приказом Минкультуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

12.3. Для персональных данных лиц Категории 3, Категории 5: с момента предоставления согласия до достижения цели их обработки. Подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении либо до отзыва субъектом персональных данных согласия на обработку его персональных данных согласно локальным нормативным актам Общества.

12.4. Для персональных данных лиц Категории 6: в течение сроков установленных Клиентом, являющимся Оператором данных.

12.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, данные удаляются в течение 30 (Тридцати) рабочих дней с даты получения отзыва.

12.6. В случае прекращения использования Системы, данные подлежат уничтожению в течение 6 (шести) месяцев с момента прекращения договора, заключенного с Клиентом, если с Клиентом заключено несколько договоров – с даты прекращения последнего из них, если иной срок не установлен в соответствующем поручении в рамках договора.

13. Прекращение обработки персональных данных и их уничтожение.

13.1. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

13.2. Пользователь может отозвать согласие на обработку своих персональных данных, направив соответствующий запрос на адрес электронной почты Общества: info@mdaudit.ru. Отзыв будет считаться совершенным (момент отзыва) по истечении 10 (десяти) рабочих дней с даты получения соответствующего письма Обществом. При этом такой отзыв не влияет на законность обработки, осуществлявшейся до момента отзыва.

13.3. При наступлении одного из условий прекращения обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

13.4. Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.

13.5. Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

13.6. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

13.7. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

14. Передача персональных данных.

Общество передает персональных данных третьим лицам, включая трансграничную передачу данных на территории иностранных государств, не обеспечивающих адекватный уровень защиты прав субъектов персональных данных в следующих случаях:

15. Третьи лица, которым передаются персональные данные (далее – «Обработчик»).

15.1. Субъект персональных данных признает и соглашается с тем, что Общество может привлекать третьи лица (далее - «Обработчики») и использовать сторонние сервисы, которые имеют свои собственные политики конфиденциальности, описывающие как они обрабатывают предоставленные данные.

15.2. Текущие Обработчики перечислены в Приложении №1 к настоящей Политике «Список Обработчиков для Пользователей Системы», Приложении №2 к настоящей Политике «Список Обработчиков для Посетителей Сайта». Общество обновляет Список Обработчиков, включая в него новых Обработчиков персональных данных и/или удаляя из Списка Обработчиков персональных данных.

15.3. Вне зависимости от наличия согласия субъекта ПД Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

16. Защита персональных данных

16.1. В соответствии с требованиями нормативных документов Обществом создана система защиты персональных данных (далее – «СЗПД»), состоящая из подсистем правовой, организационной и технической защиты.

16.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

16.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

16.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

16.5. Основными мерами защиты персональных данных, используемыми Обществом, являются:

16.6. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки персональных данных.

16.7. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.

16.8. Разработка политики в отношении обработки персональных данных.

16.9. Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.

16.10. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

16.11. Применение соответствия средств защиты информации, прошедших в установленном порядке процедуру оценки.

16.12. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

16.13. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

16.14. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

16.15. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

16.16. Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документом, определяющим политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

16.17. Осуществление внутреннего контроля и аудита.

17. Основные права и обязанности субъекта персональных данных.

17.1. Права субъекта персональных данных. Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:

17.1.1. подтверждение факта обработки персональных данных Обществом;

17.1.2. правовые основания и цели обработки персональных данных;

17.1.3. цели и применяемые Обществом способы обработки персональных данных;

17.1.4. наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональных данных на основании договора с Обществом или на основании федерального закона;

17.1.5. сроки обработки персональных данных, в том числе сроки их хранения;

17.1.6. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

17.1.7. наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

17.1.8. обращение к Обществу и направление ему запросов;

17.1.9. информацию об осуществленной или предполагаемой трансграничной передачи данных и иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

17.1.10. уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите свих прав.

17.1.11. на обжалование действий или бездействия Общества;

17.1.12. на ограничение обработки своих персональных данных;

17.1.13. возражать против обработки своих персональных данных.

17.2. Обязанности субъекта персональных данных:

17.2.1. передавать Обществу достоверные персональные данные. Общество вправе проверять достоверность предоставленных ПД в порядке, не противоречащем законодательству РФ, однако он исходит из того, что Субъект ПД предоставляет достоверные и достаточные ПД для осуществления целей их обработки и поддерживает эту информацию в актуальном состоянии;

17.2.2. своевременно сообщать Обществу об изменении своих ПД;

17.2.3. субъект ПД принимает решение о предоставлении своих ПД и дает согласие на их обработку свободно, своей волей и в своем интересе. При посещении Сайта Пользователь путем проставления отметки в соответствующем поле предоставляет Обществу согласие на обработку персональных данных и подтверждает ознакомление с настоящей Политикой конфиденциальности.

17.2.4. Пользователь Системы и/или Посетитель Сайта несет ответственность за достоверность предоставленных Обществу сведений, содержащих персональные данные.

17.3. Обязанности Общества:

17.3.1. при сборе ПД предоставить информацию об обработке ПД;

17.3.2. при отказе в предоставлении ПД субъекту ПД предоставить мотивированный отказ;

17.3.3. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

17.3.4. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

17.3.5. давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД;

17.3.6. соблюдать применимое законодательство о персональных данных.

18. Заключительные положения.

18.1. Настоящая Политика действует для Общества с даты ее утверждения, для остальных лиц – с даты опубликования на Сайте. Дата опубликования указана в начале документа.

18.2. Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции («Дата публикации»). Новая редакция Политики вступает в силу с момента ее размещения на Сайте и/или в Системе, если иное не предусмотрено новой редакцией Политики.

18.3. Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно направить Обществу требование об удалении его ПД и прекратить использование Сайта и/или Системы, в противном случае продолжение использования Пользователем Сайта и/или Системы означает, что Пользователь согласен с условиями настоящей Политики.

18.4. В случае изменения применимого законодательства, внесения изменений в нормативные акты по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с такими изменениями.

18.5. Субъект персональных данных в случае необходимости внесения уточнений, исправлений неточностей персональных данных, блокировки персональных данных полученных незаконно, а также в случае отзыва согласия на обработку персональных данных направить в адрес Общества официальный запрос почтой по адресу:

105005, г. Москва, ул. Бауманская, дом 7 стр. 1, офис 225.
Получатель ООО «МД Аудит».
Тел./факс +7 (499) 394-41-94; +7 (800) 555-67-13
e-mail: info@mdaudit.ru

18.6. В случае направления официального запроса в тексте запроса необходимо указать данные субъекта персональных данных:

18.7. Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

18.8. Общество прекратит обработку персональных данных Пользователя с момента получения от субъекта персональных данных письменного заявления (отзыва) и/или в случае достижения цели обработки и уничтожит их в срок и на условиях, установленных законом и настоящей Политикой.

18.9. В случае отзыва Пользователем согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

18.10. Общество не несет ответственности за сведения, предоставленные Пользователями в Системе в общедоступной форме.

18.11. Приложения к политике конфиденциальности: