Политика конфиденциальности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ООО «ТВЕРСКОЙ ЭКСПРЕСС» ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика конфиденциальности ООО «Тверской экспресс» по обработке и защите персональных данных (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также обеспечивает меры защиты персональных данных в ООО «Тверской экспресс» (далее – Общество). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых граждан.
1.2. Политика определяется в соответствии с федеральными законами и принятыми на их основе нормативными правовыми актами РФ, регулирующими отношения, связанные с деятельностью Общества:
1) Конституцией Российской Федерации;
2) Трудовым кодексом Российской Федерации;
3) Гражданским кодексом Российской Федерации;
4) Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
5) Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6) Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
7) Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
8) Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
9) Федеральным законом от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
10) Локальными нормативными правовыми актами Общества;
11) Договорами, заключаемыми между Обществом и субъектом персональных данных.
1.3.Политика действует бессрочно после утверждения и до ее замены новой редакцией.

2.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. В Политике используются следующие основные термины и определения:
Оператор – государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
Субъект персональных данных – контрагент, клиент и их представители могут предоставить следующие персональные данные: Фамилия, Имя, Отчество, адрес проживания, контактный номер телефона, адрес электронной почты, ИНН, ОГРН, банковские реквизиты;
Субъект персональных данных – пользователь сайта может предоставить следующие персональные данные: Фамилия, Имя, Отчество, адрес проживания, контактный номер телефона, адрес электронной почты;
Субъект персональных данных – посетители могут предоставить следующие персональные данные: фамилия, имя, отчество, адрес проживания, контактный номер телефона, данные документов: паспорта РФ, водительского удостоверения;
Субъект персональных данных – кандидат на замещение вакантной должности, сотрудник (работник) Оператора могут предоставить следующие персональные данные:  фамилия, имя, отчество, дату и место рождения, адрес проживания, контактный номер телефона, адрес электронной почты, семейное положение, социальное положение, состояние здоровья, данные документов: паспорта РФ, военного билета, свидетельства о рождении, о заключении/расторжении брака, водительского удостоверения, пенсионного удостоверения, документа об образовании, ИНН, СНИЛС, трудовой книжки;
Субъект персональных данных – учредитель, руководитель, аффилированное лицо Общества могут предоставить следующие персональные данные: фамилия, имя, отчество, дату и место рождения, адрес проживания, контактный номер телефона, адрес электронной почты, данные документов: паспорта РФ, ИНН, СНИЛС;
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).
2.2. Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
2.3. Информационная система – совокупность содержащейся в базе данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
2.4. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.5. Защита персональных данных – деятельность Оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общество обрабатывает персональные данные субъектов исключительно в следующих целях:
1) Исполнения положений нормативных актов, указанных в п.1.2 настоящей Политики;
2) При трудоустройстве кандидатов в Общество, при ведении кадрового делопроизводства и личных дел работников Общества;
3) Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами, проведении расчетов с клиентами;
4) При работе с обращениями и заявлениями граждан;
5) Осуществления пропускного и внутриобъектового режимов;
6) В иных законных целях.
3.2. В информационных системах персональных данных Общества обрабатываются следующие категории персональных данных: персональные данные кандидатов на замещение вакантных должностей, работников Общества, персональные данные учредителей, аффилированных лиц Общества, персональные данные контрагентов, клиентов и их представителей, персональные данные посетителей, а также пользователей официального сайта Общества.
3.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных, предоставляя свои персональные данные Обществу, соглашается на их обработку Обществом.
4.2. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.
4.3. Обработка персональных данных на основании договоров и иных соглашений Общества, поручений Общества на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Общества, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности: 
1) цели, условия, сроки обработки персональных данных; 
2) обязательства сторон, в том числе меры по обеспечению конфиденциальности; 
3) права, обязанности и ответственность сторон, касающиеся обработки персональных данных. 
4.4. В случаях, не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством. Нажимая на кнопку «ОТПРАВИТЬ», «ЗАКАЗАТЬ», «ЗАДАТЬ ВОПРОС» и т.п. любой формы отправки сообщений, Субъект персональных данных подтверждает, что ознакомился с Политикой конфиденциальности ООО «Тверской экспресс» по обработке и защите персональных данных и дает согласие на обработку своих персональных данных.
4.5. Форма согласия на обработку персональных данных и форма согласия на обработку специальных категорий персональных данных и биометрических персональных данных в Обществе утверждена в Положении об обработке и защите персональных данных работников ООО «Тверской экспресс».
4.6. Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
1) Назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
2) Проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
3) Издание локальных нормативных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
4) Обеспечение физической безопасности помещений (в том числе транспортных средств) и средств обработки, пропускной режим, охрана, видеонаблюдение;
5) Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
6) Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
7) Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
8) Учет и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
9) Резервное копирование информации для возможности восстановления;
10) Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

5.ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА

5.1. Субъект персональных данных имеет право:
1) Получать достоверную информацию, касающуюся обработки его персональных данных в Обществе, за исключением случаев, предусмотренных законодательства Российской Федерации;
2) Требовать от Общества, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) Отозвать согласие на обработку персональных данных, направив соответствующий запрос в Общество по электронной почте или обратившись лично;
4) Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
5) Для реализации своих прав, указанных в п.4.6. Политики, субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
6) Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
7) Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5.2. Общество вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию. Субъект персональных данных настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений.
5.3. Общество получает информацию об ip-адресе посетителя официального сайта www.poezdmegapolis.ru (далее – Сайт). Данная информация не используется для установления личности посетителя.
5.4. Общество не несет ответственности за сведения, предоставленные Субъектом персональных данных на Сайте в общедоступной форме.
5.5. Иные права и обязанности Общества, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
5.6.    Общетсво в своей деятельности обеспечивает:
1) Соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
2) Соблюдение требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
3) Принимает меры, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; 
5.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
1) Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
2) Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;
3) Иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
5.8. Оператор рассматривает обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и дает мотивированные ответы в срок, не превышающий 30 календарных дней с даты поступления обращения (запроса).
5.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных правовых актов Общества, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.