The Wayback Machine - https://webcf.waybackmachine.org/web/20220314031514/https://help.mail.ru/legal/documents/personaldata
Политика в области обработки и обеспечения безопасности перс.данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) является основой для организации работы по обработке и обеспечению безопасности персональных данных в ООО «ВК» (далее – Компания). Положения настоящей Политики распространяются на всех работников Компании, имеющих доступ к персональным данным.

1.2. Настоящая Политика является общедоступной и подлежит размещению на сайте Компании. Компания оставляет за собой право в любое время обновлять и изменять Политику.

1.3. Обработка персональных данных в Компании осуществляется в соответствии с требованиями действующего законодательства и следующими основными принципами:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
  • легитимности организационных и технических мер по обеспечению безопасности персональных данных;
  • непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
  • стремления к постоянному совершенствованию системы защиты персональных данных.

1.4. С целью поддержания деловой репутации Компания считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.

1.5.  Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

 

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

 

2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Субъект персональных данных – определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные.

2.4. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.5. Конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:

3.1.1. Осуществление трудовых отношений с работниками Компании в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами, в том числе:

  • рассмотрение резюме и подбор кандидатов на вакантную должность для дальнейшего трудоустройства;
  • исполнение Компанией обязательств, предусмотренных заключенными договорами и обеспечивающими их выполнение локальными нормативными актами;
  • обеспечение условий и процессов, необходимых для выполнения работниками Компании трудовых обязанностей;
  • оказание работникам содействия в обучении и карьерном росте;
  • содействие в получении работниками Компании социальных льгот и компенсаций.

3.1.2. Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства, в том числе:

  • заключение, сопровождение, изменение, расторжение договоров;
  • исполнение Компанией обязательств, предусмотренных договорами;
  • исполнение Компанией обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами;
  • ведение переговоров и процессов согласования договоров;
  • предоставление возможности использования интернет-сервисов Компании в соответствии с пользовательскими (лицензионными) соглашениями;
  • подтверждение принадлежности аккаунта в сервисе пользователю;
  • исполнение обязательств, предусмотренных правилами проведения мероприятий (конкурсов), включая, но не ограничиваясь, по выдаче призов участникам, уплате налогов;

3.1.3. Оформление гостевых пропусков для однократного прохода на территорию Компании;

3.1.4. Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.

3.1.5. информационное обеспечение лиц, использующих информационную систему Компании.

 

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Компания осуществляет обработку персональных данных на следующих правовых основаниях:

  • Устав ООО «ВК»;  
  • Трудовое законодательство, включая Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ, Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации";
  • Гражданский кодекс РФ от 30.11.1994 г. № 51-ФЗ (часть первая), от 26.01.1996 г. №14-ФЗ (часть вторая), от 26.11.2001 г. № 146-ФЗ (часть третья), от 18.12.2006 г. № 230-ФЗ (часть четвертая);
  • Налоговый кодекс РФ от 31.07.1998 г. № 146-ФЗ (часть первая), от 05.08.2000 г. №117-ФЗ (часть вторая);
  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 26.07.2006 N 135-ФЗ "О защите конкуренции";
  • Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании»;
  • Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
  • Постановление Государственного комитета РФ по статистике от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
  • Постановления уполномоченных органов;
  • Договор с контрагентом;
  • Пользовательское (лицензионное) соглашение интернет-сервиса;
  • Правила мероприятий (конкурсов) (соглашение);
  • Согласие на обработку персональных данных;
  • Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  • Локальные акты, принятые Компанией в соответствии с законодательством о персональных данных, включая настоящую Политику и действующую редакцию Положения об обработке персональных данных в ООО «ВК».

4.2. Для каждого из Интернет-сервисов Компании предусмотрена соответствующая политика конфиденциальности, не противоречащая настоящей Политике.

 

5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. В Компании осуществляется или допускается обработка персональных данных следующих категорий субъектов персональных данных:

  • cоискатели;
  • работники Компании;
  • бывшие работники Компании;
  • родственники работников Компании;
  • физические лица, аффилированные с Компанией;  
  • физические лица, имеющие договорные отношения с Компанией:
    • исполнители по договорам с физическими лицами;
    • индивидуальные предприниматели;
    • пользователи интернет-сервисов Компании;
    • гости Компании по деловым поездкам;
    • участники проводимых Компанией мероприятий (конкурсов).
  • представители лиц, имеющих договорные отношения с Компанией;
  • работники лиц, заключивших договор с Компанией;
  • посетители Компании;
  • субъекты персональных данных, направляющие заявления, претензии и иные обращения в адрес Компании;
  • представители субъектов персональных данных, направляющие заявления, претензии и иные обращения в адрес Компании от имени субъектов персональных данных.

5.2. Объем персональных данных, обрабатываемых Компанией в целях заключения, исполнения, сопровождения, изменения, расторжения соглашений с пользователями сервисов Компании определяется Политикой конфиденциальности сервисов Mail.ru, размещаемой по адресу https://help.mail.ru/legal/terms/common/privacy, и уточняется политиками конфиденциальности соответствующих Интернет-сервисов.

5.3. Объем персональных данных, обрабатываемых Компанией в иных целях, предусмотренных настоящей Политикой, определяется локальными актами Компании и доводится до сведения субъектов персональных данных по запросу.

5.4. Обработка Компанией специальных категорий персональных данных допускается только в случаях, предусмотренных федеральным законодательством РФ.

5.5. Обработка Компанией биометрических персональных данных не осуществляется, если иное явным образом не указано в политике конфиденциальности Интернет-сервисов Компании или в отдельном локальном нормативном акте.

 

6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1. Субъекты персональных данных вправе:

6.1.1. получать информацию, касающуюся своих персональных данных и ее обработки, в порядке и в объеме, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

6.1.2. назначать представителей;

6.1.3. требовать от Компании уточнения персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.1.4. принимать предусмотренные законодательством РФ меры по защите своих прав;

6.1.5. отзывать согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой;

6.2. Субъекты персональных данных обязаны осуществлять свои права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе с частью 3 статьи 14, устанавливающей требования к содержанию запросов от субъектов, а также с иными нормативными правовыми актами.

 

7. ОСНОВНЫЕ ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7.1. Компания осуществляет обработку персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных только при наличии оснований и в течение сроков, предусмотренных действующим законодательством.

7.2. Обработка персональных данных Компанией осуществляется как с использованием, так и без использования средств автоматизации (в т.ч. смешанная обработка).

7.3. При обработке персональных данных Компания соблюдает права субъектов персональных данных и выполняет обязанности оператора, предусмотренные законодательством РФ о персональных данных.

7.4. Обработка Компанией персональных данных может осуществляться по поручению третьих лиц. В таких случаях Компания не является оператором и не обязана получать согласия на обработку персональных данных у субъектов персональных данных.

7.5. Компания, осуществляя обработку персональных данных субъекта персональных данных, вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора.

7.6. При сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

7.7. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

7.8. Компания в ходе своей деятельности может осуществлять передачу персональных данных третьим лицам, в случаях, предусмотренных законодательством РФ или с согласия субъекта персональных данных.

 

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Компанией.

8.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Компания прекращает обработку персональных данных способом, предусмотренным ч. 7 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

8.3. Компания вправе продолжить обработку персональных данных в случае достижения цели обработки, при наличии иных законных оснований. Компания также вправе продолжить обработку персональных данных после отзыва согласия субъекта на обработку персональных данных, при наличии оснований, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

8.4. В случае выявления неправомерной обработки персональных данных они подлежат уничтожению Компанией в порядке, предусмотренном законодательством РФ о персональных данных.

8.5. Компания осуществляет реагирование на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов в соответствии с действующим законодательством РФ.

8.6. Запросы/обращения указанных субъектов по поводу неточности персональных данных, неправомерности их обработки, доступа субъекта персональных данных к своим персональным данным направляются по адресу места нахождения Компании в письменной форме или в ином порядке, предусмотренном действующим законодательством РФ. Отзыв согласия на обработку персональных данных направляется субъектом персональных данных в письменной форме по адресу места нахождения Компании.

8.7. Компания вправе ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных федеральными законами РФ, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.

8.8. При направлении запроса/обращения в Компанию с целью реализации прав субъекта персональных данных необходимо указывать:

  • фамилию, имя, отчество субъекта персональных данных или его представителя;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
  • подпись субъекта персональных данных (или его представителя).

8.9. При направлении отзыва согласия на обработку Персональных данных в Компанию с целью реализации прав субъекта персональных данных необходимо указывать, в том числе:

  • фамилию, имя, отчество субъекта персональных данных или его представителя, адрес субъекта персональных данных;
  • сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
  • подпись субъекта персональных данных (или его представителя).

 

9. ВЫПОЛНЯЕМЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования применимых нормативных документов в области обработки и обеспечения безопасности персональных данных, включая:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 г.
    № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15.09.2008г.
    № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

9.2. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

9.3. В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

9.4. Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

Редакция от 01.03.2022 г.