1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ

1. 1. Цель документа:

- защита прав и законных интересов субъектов персональных данных;

- выполнение ООО «РИСЛИНГ» (далее также Общество) требований законодательства в области персональных данных.

1.2. Краткое описание документа - Политика обработки персональных данных в ООО «РИСЛИНГ» (далее – Политика) определяет принципы, порядок и условия обработки персональных данных работников ООО «РИСЛИНГ» и иных лиц, чьи персональные данные обрабатываются ООО «РИСЛИНГ», а также лицами по поручению ООО «РИСЛИНГ».

1.3. Периодичность пересмотра - 3 года или существенные изменения законодательства Российской Федерации.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:

- все подразделения и должностные лица ООО «РИСЛИНГ», осуществляющие обработку персональных данных.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Деятельность ООО «РИСЛИНГ» (далее по тексту также Оператор) в соответствии с настоящей Политикой, прежде всего, преследует своей целью обеспечение защиты прав и свобод субъектов персональных данных (далее – ПДн) при обработке их ПДн, в том числе, защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

3.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон № 152-ФЗ), а также иными подзаконными нормативно-правовыми актами в области персональных данных.

3.3. Положения Политики действуют в отношении всех ПДн, обрабатываемых Оператором, и являются основой для организации работы по обработке ПДн в ООО «РИСЛИНГ», в том числе для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в ООО «РИСЛИНГ». Политика распространяет свое действие на обрабатываемые Оператором ПДн, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки ПДн в ООО «РИСЛИНГ» регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки ПДн.

3.4. Настоящая Политика распространяется на все процессы ООО «РИСЛИНГ», связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками ООО «РИСЛИНГ», осуществляющими обработку ПДн в силу своих должностных обязанностей.

3.5. В соответствии с пунктом 2 части 2 статьи 1 Закона № 152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.

3.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ. Если международным договором РФ установлены иные правила чем те, которые предусмотрены Законом № 152-ФЗ, то ООО «РИСЛИНГ» применяет правила международного договора.

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка ПДн в ООО «РИСЛИНГ» осуществляется на основе следующих принципов:

- обработка ПДн осуществляется на законной и справедливой основе;

- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;

- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только ПДн, которые отвечают целям их обработки;

- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. ООО «РИСЛИНГ» принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. ПОНЯТИЕ, СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В рамках настоящей Политики под персональными данными понимается любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством РФ. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, об архивном деле и другими.

5.2. ООО «РИСЛИНГ» в рамках своей деятельности вправе осуществлять обработку специальных категорий ПДн только в случаях, прямо предусмотренных действующим законодательством Российской Федерации в сфере ПДн и (или) при наличии иных правовых оснований. ООО «РИСЛИНГ» также вправе осуществлять обработку сведений о судимости только в случаях, прямо предусмотренных действующим законодательством Российской Федерации.

5.3. ООО «УК «РИСЛИНГ» в рамках своей деятельности вправе осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, в форме и порядке, предусмотренном положениями статьи 10.1 Закона № 152-ФЗ, с учетом установленных субъектом ПДн запретов и ограничений.

5.4. ООО «РИСЛИНГ» осуществляет обработку ПДн следующих категорий субъектов персональных данных:

•работники Общества;

•законные представители;

•соискатели на замещение вакантных должностей;

•физические лица-контрагенты;

•представители контрагентов;

•выгодоприобретатели по договорам;

•уволенные работники;

•клиенты;

•посетители сайтов Оператора.

6. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Получение ПДн в ООО «РИСЛИНГ» организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.

6.2. Обрабатываемые ООО «РИСЛИНГ» ПДн могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, являющихся контрагентами ООО «РИСЛИНГ».

6.3. При получении ПДн непосредственно от субъекта ПДн ООО «РИСЛИНГ» обязуется обеспечить наличие правовых оснований, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных. В случаях, когда правовым основанием обработки ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, однако такое согласие должно отвечать требованиям конкретности, предметности, информированности, однозначности и сознательности. Согласие на обработку ПДн должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн. В случаях, предусмотренных федеральным законом, обработка персональных данных допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения которого должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

6.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.

6.4. При получении ПДн не от субъекта ПДн, ООО «РИСЛИНГ», до начала обработки таких ПДн, обязуется предоставить субъекту ПДн следующую информацию:

- наименование и адрес ООО «РИСЛИНГ» или его представителя;

- цель обработки ПДн и ее правовое основание;

- перечень ПДн;

- предполагаемые пользователи ПДн;

- установленные Законом № 152-ФЗ права субъекта ПДн;

- источник получения ПДн.

6.5. ООО «РИСЛИНГ» освобождается от обязанности информирования субъекта ПДн о получении ПДн от третьих лиц, в следующих случаях:

- субъект ПДн уведомлен соответствующим оператором об осуществлении обработки его ПДн ООО «РИСЛИНГ»;

- ПДн получены ООО «РИСЛИНГ» на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;

- ООО «РИСЛИНГ» осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;

- предоставление субъекту ПДн сведений, предусмотренных п. 6.4. Политики, нарушает права и законные интересы третьих лиц.

6.6. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации осуществляются в ООО «РИСЛИНГ» с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом № 152-ФЗ.

7. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка ПДн в ООО «РИСЛИНГ» может осуществляться как с использованием, так и без использования средств автоматизации, в том числе путем осуществления следующих действий - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

7.2. Автоматизированная обработка ПДн осуществляется в информационной системе персональных данных (далее – ИСПДн) ООО «РИСЛИНГ» в строгом соответствии с настоящей Политикой.

Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в ИСПДн.

Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

При автоматизированной обработке ПДн содержатся на машинных носителях ПДн. Фиксация ПДн на машинном носителе производится с использованием средств вычислительной техники (копирование персональных данных на любой съемный или несъемный машинный носитель, ввод персональных данных в базу данных и т.п.).

7.3. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

7.4. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), необходимо выполнять следующие условия:

a) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

- сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;

- реквизиты ООО «РИСЛИНГ» (наименование и адрес);

- фамилию, имя, отчество (при наличии) и адрес субъекта ПДн;

- источник получения ПДн, сроки обработки ПДн;

- перечень действий с ПДн, которые будут совершаться в процессе их обработки;

- общее описание используемых оператором способов обработки ПДн;

б) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить

отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

г) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО «РИСЛИНГ» или лица, осуществляющие обработку ПДн по поручению ООО «РИСЛИНГ»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «РИСЛИНГ» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ООО «РИСЛИНГ».

7.5. При фиксации ПДн на материальных носителях (в т.ч. машинных носителях) не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.

7.6. ООО «РИСЛИНГ» вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

Оператор обязан устно, а по письменному требованию субъекта ПДн или его представителя - письменно, разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

Оператор обязан рассмотреть возражение субъекта ПДн относительно решения, вынесенного на основании исключительно автоматизированной обработки ПДн в течение 30 (тридцати) дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения в течение 10 (десяти) дней. Уведомление может быть осуществлено Оператором в любой доступной форме, позволяющей подтвердить факт уведомления субъекта ПДн. Выбор способа направления уведомлений остаётся за Оператором.

В случае автоматизированной обработки ПДн различными способами разъяснение готовится отдельно для каждого способа.

7.8. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. ООО «РИСЛИНГ» обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.

8. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. ООО «РИСЛИНГ» является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

8.2. Обработка ПДн субъектов ПДн осуществляется в ООО «РИСЛИНГ» в следующих целях:

Цель № 1: ведение кадрового и бухгалтерского учета.

Субъекты Пдн: работники, уволенные работники, законные представители.

Категории Пдн: фамилия, имя, отчество; пол; семейное положение; год, месяц, дата и место рождения; гражданство; адрес регистрации и адрес проживания; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о листах нетрудоспособности и причинах нетрудоспособности; ИНН; СНИЛС; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); доходы; номер(а) контактного(ых) телефона(ов); адрес электронной почты; отношение к воинской обязанности, сведения о воинском учете; наличие детей, их дата, месяц и год рождения, фамилия, имя, отчество; сведения об образовании; сведения о состоянии здоровья; табельный номер.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный законодательством РФ, договором или согласием субъекта ПДн на обработку его ПДн.



Цель № 2: подбор персонала (соискателей) на вакантные должности в ООО «РИСЛИНГ».

Субъекты Пдн: соискатели.

Категории Пдн: фамилия, имя, отчество; дата, месяц и год рождения; номер телефона; адрес электронной почты; гражданство; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; иные персональные данные из резюме/анкеты, указанные соискателем.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДн на обработку его ПДн.

Цель № 3: подготовка, заключение и исполнение гражданско-правового договора.

Субъекты Пдн: контрагенты; представители контрагентов; выгодоприобретатели по договорам; законные представители.

Категории Пдн: фамилия, имя, отчество; дата, месяц и год рождения; адрес электронной почты, номер телефон; адрес места жительства; адрес регистрации; ИНН; СНИЛС; гражданство; данные документа, удостоверяющем личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный законодательством РФ, договором или согласием субъекта ПДн на обработку его ПДн.



Цель № 4: участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

Субъекты ПДн: работники, уволенные работники, законные представители, соискатели, контрагенты; представители контрагентов; выгодоприобретатели по договорам.

Категории Пдн: фамилия, имя, отчество; дата, месяц и год рождения; номер телефона; адрес электронной почты; адрес местожительства; адрес регистрации; ИНН; СНИЛС; данные документа, удостоверяющего личность; данные водительского удостоверения; место работы; иные персональные данные, представленные субъектом ПДн при рассмотрении дела в суде.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДн на обработку его ПДд.



Цель № 5: обеспечение соблюдения законодательства РФ об исполнительном производстве.

Субъекты ПДн: работники, уволенные работники, законные представители, контрагенты; клиенты; выгодоприобретатели по договорам.

Категории Пдн: фамилия, имя, отчество; дата, месяц и год рождения; адрес местожительства; адрес регистрации; ИНН; СНИЛС; данные документа, удостоверяющего личность; данные водительского удостоверения; место работы.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.

Цель № 6: продвижение товаров, работ и услуг на рынке.

Субъекты ПДн: клиенты.

Категории Пдн: имя; номер телефона; адрес электронной почты.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.



Цель № 7: бронирование столиков

Субъекты ПДн: клиенты, посетители сайта.

Категории Пдн: имя; номер телефона.

Способы обработки: автоматизированная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.

Цель № 8: участие в программе лояльности ООО «РИСЛИНГ».

Субъекты ПДн: клиенты, посетители сайта.

Категории Пдн: имя; номер телефона; адрес электронной почты; дата, месяц и год рождения.

Способы обработки: смешанная.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.

Цель № 9: обеспечение соблюдения налогового законодательства РФ.

Субъекты ПДн: работники, контрагенты.

Категории Пдн: фамилия, имя, отчество; доходы; ИНН; СНИЛС; наличие детей, их возраст дата, фамилия, имя, отчество.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.

Цель № 10: предоставление функционала на картах сайтов ООО «РИСЛИНГ», а также для анализа статистики посещений, поведения посетителей сайтов, эффективности контента сайта и технической стабильности и безопасности сайтов, использования инструментов онлайн-маркетинга с учетом потребностей и интересов посетителей сайтов (с использованием сервисов Яндекс Карты и Яндекс Метрика).

Субъекты ПДн: пользователи сайта.

Категории Пдн: URL страницы Реферер страницы; Заголовок страницы; Браузер и его версия; Операционная система и ее версия; Устройство; Высота и ширина экрана; Наличие Cookies; Наличие JavaScript; Часовой пояс; Язык браузера; Глубина цвета экрана; Ширина и высота клиентской части окна браузера; Пол и возраст посетителей; Интересы посетителей; Географические данные; JavaScript-события; Параметры загрузки страницы; Просмотр страницы; Визит; Переход по внешней ссылке; Скачивание файла; Отказ; Время на сайте; Глубина просмотра.

Сроки обработки: срок хранения Пдн, предусмотренный согласием субъекта ПДд на обработку его ПДд.

9. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Уничтожение ПДн проводится комиссией по уничтожению ПДн, утвержденной приказом ООО «РИСЛИНГ» (далее – Комиссия); уничтожение должно касаться только тех носителей, содержащих ПДн субъектов ПДн, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных ПДн либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

9.2. В случае если обработка ПДн осуществляется Оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.

В случае если обработка ПДн осуществляется Оператором как с использованием средств автоматизации, так и при смешанном способе обработки ПДн, т.е. с одновременным использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПДн (далее - выгрузка из журнала).

9.3. Акт об уничтожении ПДн должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес Оператора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку ПДн субъекта (субъектов) ПДн по поручению Оператора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПДн были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших ПДн субъекта ПДн, а также их (его) подпись;

д) перечень категорий уничтоженных ПДН субъекта (субъектов) ПДн;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПДн субъекта (субъектов) ПДн, с указанием количества листов в отношении каждого материального носителя (в случае обработки ПДн без использования средств автоматизации);

ж) наименование ИСПДн, из которой (которых) были уничтожены ПДн субъекта (субъектов) ПДн (в случае обработки ПДн с использованием средств автоматизации);

з) способ уничтожения ПДн;

и) причину уничтожения ПДн;

к) дату уничтожения ПДн субъекта (субъектов) ПДн.

9.4. Выгрузка из журнала должна содержать:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

9.5. Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.

10. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. ООО «РИСЛИНГ» не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.

11. ПЕРЕДАЧА И ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Обработка ПДн в ООО «РИСЛИНГ» может осуществляться:

- работниками ООО «РИСЛИНГ», чьи должностные обязанности и полномочия связаны с процессами, предполагающими обработку ПДн;

- другими лицами, осуществляющими обработку ПДн по поручению ООО «РИСЛИНГ».

11.2. Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с ООО «РИСЛИНГ», в котором содержится поручение на обработку ПДн с согласия субъекта ПДн, если иное не предусмотрено Законом № 152-ФЗ.

В поручении должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу Оператора в течение сроак действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона № 152-ФЗ.

11.3. При передаче ПДн третьей стороне должны выполняться следующие условия:

- передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке;

- передача (предоставление доступа) ПДн третьей стороне осуществляется на основании действующего законодательства РФ;

- наличие согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством.

11.4. ООО «РИСЛИНГ» в процессе своей деятельности не осуществляет трансграничную передачу ПДн.

11.5. В целях информационного обеспечения в ООО «РИСЛИНГ» могут создаваться общедоступные источники данных (в том числе специализированные справочники, телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц. Сведения о субъекте ПДн могут быть в любое время исключены ООО «РИСЛИНГ» из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

12. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

12.1 ООО «РИСЛИНГ» в рамках своей деятельности может осуществлять распространение ПДн субъектов ПДн только при наличии соответствующего согласия субъекта ПДн и в строгом соответствии с требованиями статьи 10.1 Закона № 152-ФЗ.

12.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта ПДн на обработку его ПДн. ООО «РИСЛИНГ» обязуется обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.3. Форма и содержание согласия на обработку ПДн, разрешенных субъектом ПДн для распространения должны соответствовать требованиям, которые установлены Приказом Роскомнадзора от 24.02.2021г. № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения". Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.4. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.

12.5. ООО «РИСЛИНГ» обязуется в срок не позднее 3 (трех) рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

12.6. ООО «РИСЛИНГ» обязуется прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в случае поступления от субъекта ПДн соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению.

13. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Субъект ПДн имеет право:

- получать информацию, касающуюся обработки его ПДн, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере ПДн;

- требовать уточнения своих ПДн, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для завяленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектов ПДн согласия на обработку ПДн;

- требовать прекращения обработки своих ПДн;

- принимать предусмотренные законом меры по защите своих прав;

- отозвать свое согласие на обработку ПДн.

13.2. Для реализации своего права на получение информации, касающейся обработки его ПДн, субъект ПДн или его представитель должен обратиться в ООО «РИСЛИНГ», по реквизитам, указанным в разделе 18 настоящей Политики, с письменным заявлением, которое должно содержать:

- номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;

- подпись субъекта ПДн или его представителя.

В рамках действующего законодательства РФ в сфере ПДн ООО «РИСЛИНГ» обязуется предоставить субъекту ПДн по его запросу следующую информацию:

- подтверждение факта обработки ПДн ООО «РИСЛИНГ»;

- правовые основания и цели обработки ПДн;

- цели и применяемые ООО «РИСЛИНГ» способы обработки ПДн;

- наименование и место нахождения ООО «РИСЛИНГ»;

- сведения о лицах (за исключением работников ООО «РИСЛИНГ»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ООО «РИСЛИНГ» или на основании федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «РИСЛИНГ», если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения ООО «РИСЛИНГ» обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;

- иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

13.3. В рамках реализации права на отзыв своего согласия на обработку ПДн субъект ПДн вправе обратиться в адрес ООО «РИСЛИНГ» с заявлением об отзыве ранее данного согласия на обработку ПДн. Также субъект ПДн вправе обратиться к ООО «РИСЛИНГ» с требованием о прекращении обработки ПДн. ООО «РИСЛИНГ» оставляет за собой право продолжить обработку ПДн без согласия ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.

13.4. Если субъект ПДн отказывается предоставить свои ПДн в случае, когда предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, либо представленные ПДн являются неточными и (или) неполными по отношению к заявленным целям обработки ПДн, ООО «РИСЛИНГ» оставляет за собой право отказать в предоставлении своих услуг субъекту ПДн.

13.5. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять ООО «РИСЛИНГ» информацию об изменении своих ПДн.

14. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Порядок хранения ПДн, обрабатываемых в ООО «РИСЛИНГ», определяется локальными правовыми актами ООО «РИСЛИНГ» в соответствии с положениями Закона № 152-ФЗ.

14.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн; сроком, установленным в соответствующем согласии субъекта ПДн, приказом Росархива от 20.12.2019г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и локальными правовыми актами ООО «РИСЛИНГ».

14.3. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или локальными правовыми актами ООО «РИСЛИНГ». Хранение ПДн после истечения срока хранения допускается только после их обезличивания.

15. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, ООО «РИСЛИНГ» сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней при условии направления ООО «РИСЛИНГ» в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

15.2. В рамках реализации требований Закона № 152-ФЗ ООО «РИСЛИНГ» на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ООО «РИСЛИНГ» вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «РИСЛИНГ» уничтожает такие ПДн. При этом ООО «РИСЛИНГ» обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

15.3. В случае выявления неправомерной обработки ПДн при обращении/ запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется с момента обращения/запроса на период проверки осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора). В случае выявления неточных ПДн при обращении/запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения/запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн ООО «РИСЛИНГ» на основании сведений, представленных субъектом ПДн, его представителем либо уполномоченным органом по защите прав субъектов ПДн, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

15.4. ООО «РИСЛИНГ» также прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:

- в случае выявления неправомерной обработки ПДн, осуществляемой ООО «РИСЛИНГ» или лицом, действующим по его поручению, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;

- в случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «РИСЛИНГ» при отсутствии иных правовых оснований обработки ПДн;

- в случае получения требования субъекта ПДн о прекращении обработки его ПДн и при отсутствии иных правовых оснований обработки ПДн, в срок не превышающий 10 (десяти) рабочих дней с даты получения ООО «РИСЛИНГ» такого требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ООО «РИСЛИНГ» в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

- в случае достижения цели обработки ПДн при отсутствии иных правовых оснований обработки ПДн.

ООО «РИСЛИНГ» обязано уничтожить ПДн или обеспечить их уничтожение, если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «РИСЛИНГ»:

- в случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «РИСЛИНГ» в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;

- в случае достижения цели обработки ПДн, в срок, не превышающий 30 (тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;

- в случае представления субъектом ПДн, его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;

- в случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока ООО «РИСЛИНГ» осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «РИСЛИНГ», и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

16. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

16.1. Во исполнение требований:

- Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»;

- Постановления Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановления Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Приказа ФСТЭК России от 18.02.2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

ООО «РИСЛИНГ» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

16.2. Обеспечение безопасности ПДн осуществляется в рамках установления в ООО «РИСЛИНГ» режима безопасности информации конфиденциального характера.

16.3. Руководство Общества осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Общества.

Обеспечение безопасности ПДн, в частности, достигается:

- назначением лица, ответственного за обеспечение безопасности ПДн;

- определением угроз безопасности ПДн при их обработке в ИСПДн;

- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

- учетом машинных носителей ПДн;

- обнаружением фактов несанкционированного доступа к ПДн;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн в ИСПДн.

16.4. Уровни защищенности ПДн при их обработке в ИСПДн ООО«РИСЛИНГ», требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК, ФСБ и Минцифры России, а также договорами между ООО«РИСЛИНГ», операторами ПДн и субъектами ПДн.

16.5. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями нормативных правовых актов РФ и локальными правовыми актами ООО «РИСЛИНГ» по работе с материальными носителями информации.

17. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

17.1. ООО «РИСЛИНГ» и/или работники ООО «РИСЛИНГ», виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

17.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.

18. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

18.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на веб-сайтах ООО «РИСЛИНГ» по адресу:

https://verderestaurant.ru/

https://cafe-benedict.ru/

18.2. Для предоставления функционала поиска на карте веб-сайтах ООО «РИСЛИНГ» использует внешний картографический сервис Яндекс Карты, который встраивается на страницы сайта.

Сервис Яндекс Карты принадлежит ООО «Яндекс» (119021, Россия, Москва, ул. Л. Толстого, 16).

Условия использования сервиса Яндекс Карты: https://yandex.ru/legal/maps_termsofuse/?lang=ru.

Яндекс Карты использует файлы cookie и веб-маяки (включая пиксельные теги) для сбора персональной информации и связывания такой личной информации с устройством и веб-браузером субъекта ПДн.

18.3. Для анализа статистики посещений, поведения пользователей и эффективности контента веб-сайтов, а также в целях использования инструментов онлайн-маркетинга (например, рекламные баннеры) на сайтах ретаргетинг-партнеров ООО «РИСЛИНГ» с учетом потребностей и интересов субъектов ПДн, ООО «РИСЛИНГ» использует сервис Яндекс Метрика, предоставляемый компанией ООО «Яндекс» (119021, Россия, Москва, ул. Л. Толстого, 16).

Условия использования сервиса Яндекс Метрика: https://yandex.ru/legal/confidential/.

Яндекс.Метрика использует технологию «cookie» — небольшие текстовые файлы, размещаемые на компьютере субъектов ПДн с целью анализа их пользовательской активности.

Информация об использовании субъектами ПДнвеб-сайтов, собранная при помощи cookie, передается Яндексу и хранится на сервере Яндекса в Российской Федерации.

Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса Яндекс.Метрика: https://yandex.ru/legal/metrica_termsofuse/.

Субъект ПДн может отказаться от использования cookies, выбрав соответствующие настройки в браузере. Также субъект ПДн может использовать инструмент Opt-Out —https://yandex.ru/support/metrika/general/opt-out.html .

Описание куки-файлов Яндекс-Метрики: https://yandex.ru/support/metrica/general/cookie-usage.html

Данные, которые собирает Яндекс-Метрика: https://yandex.ru/support/metrica/code/data-collected.html

18.4. Субъекты ПДн, чьи ПДн обрабатываются ООО «РИСЛИНГ», могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу:

248000, г. Калуга, ул. Академика Королева, д. 16, оф. 231