1. Общие положения

    1. Настоящая Политика Общества с ограниченной ответственностью «Марвел КТ» в отношении обработки персональных данных (далее – Политика) устанавливает общие подходы к обработке персональных данных (далее – ПДн) физических лиц в ООО «Марвел КТ» (далее – Общество или Оператор), определяет цели и правовое основание обработки ПДн, а также категории ПДн, обрабатываемых в Обществе.

    2. Политика разработана в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон 152-ФЗ), а также учитывает требования иных нормативных правовых актов Российской Федерации в области обработки персональных данных.

    3. Настоящая Политика регламентирует следующие вопросы:

      • порядок обработки ПДн в Обществе;
      • организацию приема и обработки обращений и запросов субъектов ПДн;
      • перечень мер, направленных на предотвращение и выявление нарушений законодательства РФ в сфере обработки ПДн, устранение последствий таких нарушений;
      • порядок ознакомления работников Общества с законодательством и внутренними документами о ПДн;
      • перечень правовых, организационных и технических мер по обеспечению безопасности ПДн;
      • порядок осуществления внутреннего контроля за соблюдением Обществом и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;
    4. В целях обеспечения выполнения Обществом обязанностей, предусмотренных законодательством РФ о ПДн, в Обществе назначается Ответственный за организацию обработки ПДн.

    5. Термины, используемые в настоящей Политике:

      Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

      Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом 152-ФЗ;

      Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Общество является Оператором;

      Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники;

      Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц;

      Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

      Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

      Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;

      Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДнх;

      Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах, данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

      Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

      Субъект персональных данных – физическое лицо – работник (в т.ч. член семьи работника, кандидат на вакантные должности), клиент, чьи персональные данные Общество обрабатывает, предполагает обрабатывать в будущем или ранее обрабатывал;

      Конфиденциальность персональных данных – обязательное для соблюдения Обществом или иным лицом, получившим доступ к ПДн требование, не раскрывать третьим лицам и не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

    6. Права и обязанности Общества и субъекта ПДн.

      1. Общество вправе:

        • предоставлять ПДн субъектов без их согласия третьим лицам, если это предусмотрено требованиями действующего законодательства (налоговые, правоохранительные органы и др.);
        • отказывать в предоставлении ПДн субъекту ПДн в случаях, предусмотренных законодательством;
        • производить обработку ПДн субъекта без его согласия в случаях, предусмотренных законодательством;
        • защищать свои права и законные интересы в судебном порядке.
      2. Общество обязано:

        • производить обработку ПДн при наличии правовых оснований;
        • принимать меры по обеспечению конфиденциальности и безопасности ПДн;
        • обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн;
        • сообщать субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя;
        • предоставлять ответы на запросы субъектов ПДн;
        • принимать меры по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн в случае их выявления;
        • выполнять иные предусмотренные законодательством Российской Федерации обязанности.
      3. Субъект ПДн обладает правами, предусмотренными законодательством, в том числе:

        • получать информацию, касающуюся обработки его ПДн, включая:
          • подтверждение факта обработки ПДн Обществом;
          • правовые основания и цели обработки ПДн;
          • цели и применяемые Обществом способы обработки ПДн;
          • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;
          • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
          • сроки обработки ПДн, в том числе сроки их хранения;
          • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом;
          • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
          • иные сведения, предусмотренные федеральными законами.
        • требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
        • обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;
        • защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
      4. При обращении в Общество с запросом о предоставлении информации, касающейся обработки его персональных данных, Субъект ПДн обязан указывать в запросе номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором. Запрос должен содержать подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

  2. Цели сбора персональных данных

    1. Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

    2. Объем, характер обрабатываемых ПДн, способы обработки ПДн в Обществе соответствуют заявленным целям обработки ПДн.

    3. Цели обработки ПДн в Обществе определяются на основании анализа правовых актов, регламентирующих деятельность Общества, целей фактически осуществляемой Обществом деятельности, а также деятельности, которая предусмотрена учредительными документами Общества, и конкретных бизнес-процессов Общества в конкретных ИСПДн.

    4. Обработка ПДн в Обществе осуществляется в целях:

      • осуществления коммерческой деятельности в соответствии с Уставом Общества;
      • соблюдения требований налогового законодательства;
      • соблюдения требований трудового законодательства;
      • соблюдения требований иных нормативных правовых актов Российской Федерации.
  3. Правовые основания обработки персональных данных

    1. ПДн в Обществе обрабатываются на основании:

      • Федеральных законов; Трудового кодекса РФ; Гражданского кодекса РФ, Налогового кодекса РФ и иных нормативных правовых актов государственных органов, органов местного самоуправления, принятых на основании и во исполнение федеральных законов;
      • Настоящей Политики, иных внутренних документов Общества, разработанных в развитие и дополнение настоящей Политики;
      • Устава Общества;
      • Договоров, заключаемых между Обществом и субъектами ПДн;
      • Согласия на обработку персональных данных, в т.ч. Согласия на обработку ПДн, разрешенных субъектом ПДн для распространения (оформляется отдельно от иных согласий субъекта ПДн на обработку его персональных данных).
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

    2. В Обществе обрабатываются ПДн, принадлежащие следующим категориям субъектов ПДн:

      • клиентам/контрагентам Общества (представителям клиентов/контрагентов Общества),
      • работникам Общества (в т.ч. лицам работающим по трудовому договору либо по договору гражданско-правового характера), а также членам семьи работника, если запрашиваются/предоставляются данные о членах семьи,
      • потребителям товара, импортированного и/или проданного Обществом,
      • кандидатам на вакантные должности в Обществе,
      • владельцам долей в уставном капитале Общества,
      • членам и кандидатам в члены органов управления и контроля Общества,
      • единоличному исполнительному органу Общества,
      • аффилированным лицам Общества,
      • лицам, у которых может быть заинтересованность в совершении Обществом сделок, согласно ст. 45 ФЗ от 26.12.1995 №208-ФЗ «Об обществах с ограниченной ответственностью».
    3. В Обществе обрабатываются следующие категории ПДн: фамилия, имя, отчество; дата и место рождения; адрес регистрации; семейное положение; имущественное положение; образование; профессия; доходы, а также другая информация, определяемая нормативно-правовыми актами Российской Федерации.

    4. В Обществе запрещена обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

    5. Обработка данных о состоянии здоровья допускается только в отношении ПДн работников и кандидатов на работу в подразделения Общества в целях исполнения двусторонних договоров, регулирующих трудовые отношения Общества и его работника, а также в целях исполнения действующего трудового законодательства.

  5. Порядок и условия обработки персональных данных

    1. Обработка ПДн в Обществе осуществляется следующими способами: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

    2. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки ПДн указываются условия передачи ПДн в адрес третьих лиц (например, наличие договора поручения на обработку ПДн. Поручение содержит цели осуществляемой передачи, объем передаваемых ПДн, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых ПДн).

    3. Общество может осуществлять трансграничную передачу ПДн.

      Трансграничная передача ПДн она территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии с Законом № 152-ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан.

      Трансграничная передача ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, осуществляется:

      • при наличии согласия субъекта ПДн на трансграничную передачу его ПДн;
      • для исполнения договора, стороной которого является субъект ПДн;
      • для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия субъекта ПДн;
      • в случаях, предусмотренных международными соглашениями Российской Федерации.

      Трансграничная передача ПДн субъекта ПДн в зависимости от целей и категорий ПДн может осуществляться на всей территории деятельности Общества с учетом указанных в настоящем пункте ограничений.

      Общество до начала осуществления трансграничной передачи ПДн убеждается в том, что иностранным государством, на территории которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъекта ПДн.

    4. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Федерального архивного агентства (Росархив) от 20.12.2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», требованиями законодательства РФ и подзаконных актов, сроком исковой давности.

    5. ПДн являются конфиденциальной информацией. Обществом строго соблюдаются требования конфиденциальности ПДн, установленные ст. 7 Федерального закона «О персональных данных», а также принимаются меры по обеспечению безопасности ПДн при их обработке, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных», требованиями и рекомендациями по обеспечению безопасности ПДн, предъявляемыми Федеральной службой безопасности РФ, Федеральной службой по техническому и экспортному контролю РФ.

    6. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, (далее - поручение оператора). Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В поручении Общества должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 №152-ФЗ.

    7. В Обществе применяются следующие меры по обеспечению безопасности ПДн:

      • назначение и ответственного за организацию обработки ПДн;
      • применение правовых, организационных и технических мер для защиты от неправомерного или случайного доступа к ним ПДн, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
      • учет лиц, допущенных к обработке ПДн;
      • получение согласия субъекта ПДн на обработку его ПДн,;
      • получение согласия субъекта ПНд на обработку ПДн, разрешенных субъектом ПДн для распространения (оформляется отдельно от иных согласий субъекта ПДн на обработку его персональных данных);
      • утверждение внутренних документов, регламентирующих порядок получения и обработки ПДн субъектов ПДн;
      • возложение на контрагентов обязанности соблюдения конфиденциальности и безопасности при обработке передаваемых им ПДн;
      • ознакомление работников Общества, имеющих доступ к ПДн, с требованиями законодательства РФ и внутренних документов Общества о ПДн, в т.ч. стребованиями по защите ПДн, обучение работников;
      • оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Обществом законодательства о ПДн, и. исходя из указанной оценки, принятие мер для обеспечения безопасности ПДн;
      • внутренний контроль соответствия обработки ПДн требованиям Закона 152-ФЗ и других нормативно-правовых актов;
      • публикация Политики в отношении обработки и защиты ПДн на сайте Общества;
      • применение иных мер, предусмотренных законодательством Российской Федерации.
    8. Условием прекращения обработки ПДн является достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.

    9. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, за исключением случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

    10. Обработка ПДн осуществляется Обществом с использованием баз данных, находящихся на территории Российской федерации, в соответствии с требованиями ч.5 ст.18 Закона 152-ФЗ.

    11. При обработке документов на бумажном носителе, содержащих сведения о субъектах ПДн, Обществом соблюдаются требования, установленные Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

    12. Обществом соблюдаются условия хранения ПДн, в том числе, при обработке ПДн без использования средств автоматизации, а именно, определены места хранения, обеспечены условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

    13. Работники Общества, осуществляющие обработку ПДн, несут ответственность за исполнение требований законодательства, настоящей Политики и иных внутренних документов Общества, разработанных в развитие и дополнение настоящей Политики, при осуществлении конкретных видов деятельности, связанных с обработкой ПДн.

  6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

    1. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации Обществом, а обработка должна быть прекращена.

    2. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:

      • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
      • Общество не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом 152-ФЗ или иными федеральными законами;
      • иное не предусмотрено иным соглашением между Обществом и субъектом ПДн.
    3. Общество обязано предоставить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу.

    4. Порядок направления субъектом ПДн таких запросов определен требованиями Закона 152-ФЗ. Запрос субъекта ПДн должен содержать следующую информацию:

      • серию, номер документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе;
      • сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом;
      • подпись субъекта ПДн.
    5. Обращение субъекта ПДн по вопросам, связанным с обработкой ПДн, оформленное в свободной форме может быть направлено через Сайт Общества, корпоративную электронную почту Общества, Почтой России на официальный адрес Общества или непосредственно в подразделение Общества.

    6. При наличии подписок на получение информационных и рекламных коммуникаций, субъект ПНд может обратиться к Оператору с просьбой об отписке от таких коммуникаций следующими способами:

      • путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме либо СМС сообщении (если функция доступна и поддерживается пользовательским устройством), содержащем коммуникацию. В этом случае Оператор прекращает направление коммуникаций на адрес электронной почты либо на номер телефона, с которого была активирована функция;
      • путем обращения в контактный центр Оператора по телефону, указанному на сайте;
      • путем обращения с соответствующим запросом по адресу электронной почты moveit@marvel.ru либо по адресу местонахождения Оператора.