Утверждена Приказом
Генерального директора
ООО «Московский городской Гольф Клуб» от «01» августа 2024 г. № 15
ПОЛИТИКА обработки персональных данных
Общества с ограниченной ответственностью «Московский городской Гольф Клуб»
(Редакция М 4)
Москва, 2024 г.
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации (далее — Законодательство ПДн).
1.2. Положения и требования настоящей Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе с ограниченной ответственностью «Московский городской Гольф Клуб» (далее — Компания, Общество).
1 З. Настоящая Политика устанавливает: принципы обработки ПДн; права субъектов ПДн; обязанности Компании при осуществлении обработки ПДн; правовые основания обработки ПДн; категории субъектов ПДн и цели обработки ПДн; состав обрабатываемых ПДн; порядок и условия обработки ПДн; условия соблюдения конфиденциальности ПДн и обеспечения безопасности пдн•, порядок взаимодействия с субъектами ПДн и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор).
Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.
Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.
Информационная система ПДн — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн — обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Обработка ПДн любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные, ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
ПДн, разрешенные субъектом ПДн для распространения, — ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Удаление ПДн — изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.
Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Обработка ПДн в Компании осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:
обработка ПДн осуществляется на законной и справедливой основе; обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПДн, несовместимая с целями сбора ПДн; не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой; обработке подлежат только ПДн, которые отвечают целям их обработки; содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки ПДн и не должны быть избыточными по отношению к заявленным целям их обработки; при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры по удалению или уточнению неполных и (или) неточных данных; хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн; обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством о ПДн.
Субъект ПДн имеет право:
свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку; отозвать свое согласие на обработку ПДн; получать информацию, касающуюся обработки своих ПДн в порядке, форме и в сроки, установленные Законодательством о ПДн; требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее; требовать прекращения обработки своих ПДн; требовать прекращения обработки своих ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи; заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн; обжаловать действия или бездействие Компании в Роскомнадзор или в судебном порядке, если считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗ или иным образом нарушает его права и свободы; принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Компания при осуществлении обработки ПДн обязана:
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Компании в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационнотелекоммуникационной сети; уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, об изменениях сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн в порядке и в сроки, установленные Законом № 152-ФЗ; при сборе ПДн предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн; разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на обработку ПДн, если предоставление ПДн и (или) получение согласия на обработку ПДн является обязательным в соответствии с законодательством Российской Федерации; обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ; не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации; разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения; предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к субъекту ПДн, в той форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе; внести необходимые изменения в ПДн при наличии сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными; немедленно прекратить по требованию субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи; уничтожить ПДн при наличии сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки; в случае отзыва субъектом ПДн согласия на обработку его ПДн прекратить их обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн; по требованию субъекта ПДн прекратить обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн; уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в порядке и сроки, установленные Законодательством о пдн•, осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности; сообщать в Роскомнадзор, по запросу этого органа необходимую информацию.
Не реже 1-го раза в квартал проводить обучение (информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств для защиты информации) работников Общества.
Не реже 1-го раза в год осуществлять внутренний контроль соответствия проводимых Обществом мероприятий по обработке и защите ПДн законодательству о ПДн и вид.
Правовыми основаниями обработки ПДн в Компании являются:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Гражданский кодекс Российской Федерации от 30.10.1994 № 5 1 -ФЗ;
Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об
индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;
Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1 119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
GOlS
Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иные нормативные акты, регулирующие отношения, связанные с обработкой персональных данных; Устав Компании; трудовой договор работника Компании и соглашения к трудовому договору; договор с контрагентом Компании; пользовательское соглашение (www.mcgc.ru); согласие кандидата на вакантную должность на обработку его ПДн; согласие работника на обработку его ПДн; согласие клиента на обработку его ПДн.
7.1. Категории субъектов ПДн
7.1.1. В Компании осуществляется обработка ПДн следующих категорий субъектов:
7.2. Цели обработки ПДн.
7.2.1. Обработка ПДн кандидатов на вакантные должности осуществляется в целях:
принятия решения о приеме либо отказе в приеме на работу соискателей на вакантную должность в Компании. При этом, обрабатывается следующий
состав персональных данных: Фамилия, Имя, Отчество, возраст, сведения о гражданстве, паспортные данные, сведения об образовании, сведения о предыдущих местах работы/учебы, сведения об имеющихся навыках и предпочтениях/хобби кандидата, адрес места жительства/регистрации, контактный телефон, адрес электронной почты кандидата.
7.22. Обработка ПДн работников осуществляется в целях:
При этом, обрабатывается следующий состав персональных данных: персональные данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 Трудового кодекса РФ, а также персональные данные, получаемые и создаваемые Компанией в период осуществления работником своей трудовой деятельности в Обществе, в том числе: Фамилия, Имя, Отчество, возраст (число, месяц, год рождения), сведения о гражданстве, паспортные данные, сведения об образовании, сведения о предыдущих местах работы/учебы, сведения об имеющихся навыках и предпочтениях/хобби работника, адрес места жительства/регистрации, контактный телефон, адрес электронной почты работника, данные государственного пенсионного и обязательного медицинского страхования работника.
обеспечения требований Налогового кодекса РФ, Трудового кодекса РФ, а также Федерального закона от 22 октября 2004 г. 125-ФЗ «Об архивном деле в Российской Федерации». При этом, в Компании ведется учет и архивное хранение информации о гражданах, ранее находившихся в трудовых отношениях с Компанией, в том числе таких сведений, как: Фамилия, Имя, Отчество бывшего работника, число, месяц, год его рождения, сведения о ранее занимаемой им должности, сведения, необходимые для расчета его трудового стажа, НДФЛ.
G01,e
заключения, исполнения, прекращения договоров и соглашений с контрагентами; выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете; оформления доверенностей на представление интересов Компании; реализации пропускного режима. При этом, Компанией принимается и обрабатывается следующий состав персональных данных: Фамилия, Имя, Отчество, номер телефона, адрес электронной почты.
заключения и исполнения договоров об оказании услуг; выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете; реализация пропускного режима; направления рекламных и маркетинговых рассылок (новостей и специальных предложений) посредством электронной почты. При этом, Компанией принимается и обрабатывается следующий состав персональных данных: Фамилия, Имя, Отчество, номер телефона, адрес электронной почты.
ведения коммерческой деятельности и реализации услуг, с помощью предварительного бронирования услуг на сайте;
сбора статистики посещаемости сайта, анализа и улучшения работы сервисов сайта. При этом, Обществом принимается и обрабатывается следующий состав персональных данных: Фамилия, Имя, Отчество пользователя, номер мобильного телефона, адрес электронной почты (E-mail) для обратной связи.
7.3. Состав обрабатываемых ПДн
7.4. Категории обрабатываемых ПДн
7.4.1. Компания осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья работников, только в случаях, предусмотренных трудовым законодательством Российской Федерации.
7.4.4. В Компании не осуществляется распространение ПДн (за исключением контрагентов, оказывающих тренерские услуги и некоторых сотрудников Общества, информация о которых указывается на сайте Общества).
по требованию субъекта прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи; по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн; при выявлении неправомерной обработки ПДн;
при отзыве согласия субъекта ПДн на обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн; по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн; при утрате необходимости в достижении целей обработки ПДн; по достижении целей обработки; по истечении установленных сроков хранения ПДн.
8.1. Сбор ПДН
8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн.
8.1.2. При сборе ПДн на страницах сайта Компания предоставляет субъекту ПДн возможность ознакомления с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
8.1 З. Сбор и обработка ПДн субъекта в целях продвижения товаров, работ, услуг Компании и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.
8.1.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Компанией согласия на обработку ПДн являются обязательными, Компания разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.1.5. Компания не отказывает кандидатам на вакантные должности, потенциальным клиентам и контрагентам потенциальным контрагентам в заключении договора и (или) в оказании услуг в случае отказа дать согласие на обработку ПДн, если в соответствии с законодательством Российской Федерации получение Компанией согласия на обработку ПДн не является обязательным.
8.1.6. Если ПДн получены не от субъекта ПДн, Компания до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию: наименование и адрес Компании; цель обработки ПДн и ее правовое основание; перечень ПДн; предполагаемые пользователи ПДн; установленные Законодательством о ПДн права субъекта ПДн; источник получения ПДн.
8.1.7. Компания освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если субъект уведомлен об осуществлении обработки его ПДн, либо если ПДн получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого является субъект.
8.1.8. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
8.2. Условия передачи ПДн третьим лицам.
8.2.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
8.22. Передача ПДн между подразделениями Компании осуществляется только между работниками, имеющими доступ к ПДн субъектов.
8.23. Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
8.24. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн.
8.25. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.
8.26. При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
8.3. Трансграничная передача ПДн в Компании не осуществляется.
8.4. Хранение ПДН
8.4.1. Хранение ПДн осуществляется в информационных системах Компании и на бумажных носителях.
8.42. Документы на бумажных носителях, резервные копии без данных информационных систем хранятся в специально выделенных помещениях Компании, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.
8.5. Прекращение обработки и уничтожение ПДн.
8.5.1. В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Компания незамедлительно прекращает их обработку.
8.52. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора, Компания в срок, не превышающий З (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие пдн.
8.5.3. Осуществить блокирование неправомерно обрабатываемых ПДн, с момента такого обращения или получения указанного запроса на период проверки, далее в случае подтверждения факта неточности ПДн оператор обязан уточнить ПДн в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.5.4. В случае отзыва субъектом согласия на обработку его ПДн Компания прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.
8.5.5. В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Компания в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.
8.5.6. В случае утраты необходимости в достижении целей Компания уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
8.5.7. В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Компания уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
8.6. При обработке ПДн Компания руководствуется Положением об обработке персональных данных, устанавливающим порядок, условия и требования к обработке ПДн в Компании, а также особенности осуществляемой обработки.
9.1. Доступ к ПДн ограничивается в соответствии с законодательством Российской Федерации.
9.2. Доступ к обрабатываемым ПДн предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Компании, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
9.4. Компания не раскрывает третьим лицам и не распространяет ПДн без согласия на это субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
9.5. Третьи лица, получившие доступ к ПДн, или осуществляющие обработку ПДн по поручению Компании, обязуются соблюдать требования договоров и соглашений с Компанией в части обеспечения конфиденциальности и безопасности ПДн.
10.1. В Компании соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности пдн.
10.2. Безопасность ПДн Компании в соответствии с Положением о защите персональных данных обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры.
10.3. В целях обеспечения безопасности ПДн в Компании выполняются следующие мероприятия:
систематическая оценка угроз безопасности ПДн при их обработке в информационных системах ПДн; оценка причинения вреда и (или) нанесения ущерба субъектам ПДн в случае нарушения Законодательства о ПДн; определение необходимого уровня защищенности ПДн, обрабатываемых в информационных системах Компании, в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных»; разграничение доступа к информационным системам ПДн, материальным носителям (документам), съемным (машинным) носителям ПДн; регистрация и учет действий пользователей и администраторов информационных систем с ПДн, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации; предотвращение внедрения в информационные системы Компании вредоносных программ; использование защищенных каналов связи; резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем; исключение возможности бесконтрольного прохода в офисы Компании, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители ПДн; выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности ПДн, и реагирование на них; повышение уровня знаний работников Компании в сфере обработки и обеспечения безопасности ПДн; проведение внутренних и внешних проверок (аудитов) соответствия безопасности ПДн требованиям настоящей Политики, внутренних документов Компании, требованиям Законодательства о ПДн; оценка эффективности принимаемых мер по обеспечению безопасности ПДн и совершенствование системы защиты ПДн.
О, MOSCOtF
11.1. Предоставление информации и / или принятие иных мер в связи с поступлением обращений и / или запросов от субъектов ПДн производится Компанией в объеме и сроки, предусмотренные Законом № 152-ФЗ. Установленный Законом № 152-ФЗ срок ответа субъекту на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1 12. Запрос, направляемый субъектом ПДн, должен содержать информацию, предусмотренную Законом № 152-ФЗ.
11.3. Компания, получив обращение / запрос субъекта ПДн и убедившись в его законности предоставляет сведения, указанные в запросе, субъекту ПДн и / или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и / или принимает иные меры в зависимости от специфики обращения/запроса. Предоставляемые Компанией сведения не должны содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.
1 1 А. Компания вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении, путем направления субъекту ПДн или его представителю мотивированного отказа, если у Компании в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении / удовлетворении поступивших требований.
11.5. В Компании осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и предоставления необходимой информации по его обращению в соответствии с Порядком работы с обращениями субъектов персональных данных или их представителей, и запросами уполномоченного органа по защите прав субъектов персональных данных.
12.1. В случаях, установленных Законом № 152-ФЗ, Компания направляет в Роскомнадзор уведомление об обработке ПДн, а также уведомление об осуществлении трансграничной передачи ПДн.
12.2. В случае изменений сведений об обработке ПДн и осуществлении трансграничной передачи ПДн Компания уведомляет об этом Роскомнадзор не позднее 15го числа месяца, следующего за месяцем, в котором возникли такие изменения.
12.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Компания с момента выявления такого инцидента, уведомляет Роскомнадзор:
в течение 12 (двенадцати) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Компанией на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом; в течение 24 (двадцати четырех) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.4. Компания сообщает по запросу Роскомнадзора необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
13.1 Уничтожение ПДн, обработка которых осуществляется в рамках целей, указанных в настоящей Политике, производится в следующих случаях:
В случае достижения или утраты целей обработки ПДн Общество производит уничтожение обрабатываемых ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством РФ.
В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Регулятора (Роскомнадзор), Общество в срок, не превышающий З (трех) рабочих дней с даты ставшего известных факта неправомерной обработки, прекращает обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, производит уничтожение ПДн.
В случае отзыва субъектом согласия на обработку ПДн Общество прекращает обработку ПДн, выполняя, предварительно, блокирование ПДн и при условии, что ПДн более не требуются для достижения целей обработки, осуществляет уничтожение ПДн в срок 30 (тридцать) рабочих дней с даты поступления отзыва согласия, если иное не предусмотрено законодательством РФ, законодательством об архивном хранении, а также договором стороной которого является субъект ПДн.
В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Общество в срок, не превышающий 10 (десять) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.
Способы уничтожения персональных данных определяются внутренними нормативными документами и локальными актами Общества по вопросам обработки и защиты персональных данных, в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 13.2. настоящей Политики.
13.2 В случае отсутствия у Общества правовых оснований на обработку персональных данных (условий обработки персональных данных) Общество в порядке, установленном в «Положение об обработке персональных данных в ООО «Московский городской Гольф Клуб»», производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Общества).
Уничтожение производится путём осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются Материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в ИСПДн, в соответствии с требованиями, установленными Регулятором (Роскомнадзор), к документированию уничтожения ПДн, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.
ф. MOScoti*
Клуб»
14.1. Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе в установленном в Компании порядке, а также в случаях изменения законодательства Российской Федерации или внутренних нормативных документов Компании, определяющих порядок обработки и защиты ПДн.
14.2. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПДн в Компании.
14.3. Ответственность должностных лиц Компании, имеющих доступ к ПДн, за невыполнение требований и норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативным документами Компании.
Любые обращения, касающиеся обработки ПДн, направляются на электронную почту: [email protected], либо на почтовый адрес: 119285 г. Москва, ул. Довженко д. 1, стр. 1.