Аудит, комплексное бухгалтерское сопровождение, кадровый учет, юридические услуги

пр. андропова, д.38, к.3, оф.233

8 (495) 937-35-91

Политика конфиденциальности

УТВЕРЖДАЮ:

Генеральный директор

ООО «Группа компаний «МДА» 

«30» июня 2017 г.

 

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ в Обществе с ограниченной ответственностью «Группа компаний «Москворецкий Дом Аудита» (ООО «Группа компаний «МДА»)                                        

1. ВВЕДЕНИЕ

1.1. Важнейшим условием реализации целей деятельности ООО «Группа компаний «МДА» (далее также Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.

1.2. Политика в отношении обработки персональных данных в ООО «Группа компаний «МДА» (далее – Политика) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в ООО «Группа компаний «МДА», а также сведения о реализуемых требованиях к защите персональных данных, в том числе при осуществлении взаимодействия с субъектами персональных данных посредством интернет-сайта www.mdagroup.ru (далее также – пользователи сайта).

1.3. Политика разработана в соответствии с действующим законодательством РФ.

1.4. Полное и краткое наименование, адрес Оператора: Общество с ограниченной ответственностью «Группа компаний «Москворецкий Дом Аудита» (ООО «Группа компаний «МДА»), 115487, г.Москва, проспект Андропова, д.38, корп.3, комн.17.

1.5. Обработка персональных данных осуществляется ООО «Группа компаний «МДА» на основании положений действующего законодательства Российской Федерации: Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, иных нормативно-правовых актов Российской Федерации.

2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2.ООО «Группа компаний «МДА» осуществляет обработку персональных данных своих работников, клиентов (контрагентов), иных лиц, вступающих в гражданско-правовые  и иные отношения с ООО «Группа компаний «МДА», пользователей интернет-сайта www.mdagroup.ru.

2.2.1.Перечень персональных данных работников ООО «Группа компаний «МДА», обработка которых осуществляется ООО «Группа компаний «МДА» в рамках трудовых отношений, определяется согласно локальному нормативному акту ООО «Группа компаний «МДА» и доводится до сведения каждого работника в порядке, установленном трудовым законодательством.

2.2.2. Перечень персональных данных клиентов ООО «Группа компаний «МДА», обработка которых осуществляется ООО «Группа компаний «МДА» в рамках гражданско-правовых отношений по оказанию услуг, иных отношений в рамках гражданского законодательства, определяется согласно заключаемым с клиентами договорам.

2.2.3. Перечень персональных данных пользователей сайта www.mdagroup.ru, обработка которых осуществляется ООО «Группа компаний «МДА» при предоставлении доступа к информации и сервисам сайта, включает:

  • персональные данные, которые вводят пользователи в поля данных на интернет-сайте ООО «Группа компаний «МДА» самостоятельно или иными лицами по их поручению: фамилия, имя и отчество, адрес электронной почты, почтовый адрес доставки заказов, контактный телефон, платёжные реквизиты.
  • персональные данные о текущем подключении к сайту ООО «Группа компаний «МДА» в части статистических сведений (на интернет-сайте ООО «Группа компаний «МДА» может проводиться сбор статистических данных о пользователе), включая: посещенные страницы; количество посещений страниц; длительность пользовательской сессии; точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайты Компании); точки выхода (ссылки на сайтах Компании, по которым пользователь переходит на сторонние сайты);  страна пользователя; регион пользователя; провайдер пользователя; браузер пользователя; системные языки пользователя; ОС пользователя; разрешение экрана пользователя; кол-во цветов экрана пользователя.

2.2. Все обрабатываемые ООО «Группа компаний «МДА» персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные обрабатываются ООО «Группа компаний «МДА»   в целях:

- оформления трудовых и иных договорных отношений, реализации прав и обязанностей работодателя и стороны договорных правоотношений;

- ведения кадрового, бухгалтерского, налогового учета;

-  в целях организации и проведения ООО «Группа компаний «МДА», (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;

- исполнения ООО  «Группа компаний «МДА» обязательств в рамках договоров оказания услуг клиентам;

- продвижения услуг и/или товаров ООО «Группа компаний «МДА»  и/или партнеров ООО   «Группа компаний «МДА» на рынке путем осуществления прямых контактов с клиентами ООО  «Группа компаний «МДА»  с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, с помощью почтовой рассылки, сети Интернет и т.д.;

- предоставления информации и сервисов на интернет-сайте www.mdagroup.ru;

-в иных целях, если это не противоречит действующему законодательству.

3.2. ООО «Группа компаний «МДА»   в целях надлежащего исполнения своих обязанностей Оператора обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств:

• персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором;

• персональные данные иных физических лиц, в том числе, но не ограничиваясь, состоящих в договорных, ученических, гражданско-правовых отношениях с Оператором, в том числе, но не ограничиваясь, клиентов, заказчиков продукции и услуг, постоянных покупателей, кандидатов.

3.3. Обработка персональных данных осуществляется согласно принципам:

- Осуществление обработки персональных данных на законной и справедливой основе.

         - Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей, указанных в настоящем разделе. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

- Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

- Обработка только тех персональных данных, которые отвечают целям их обработки.

- Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. 

- Недопустимость избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.

- Обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

-  Обеспечение принятия необходимых мер по удалению или уточнению неполных или неточных данных.

- Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных, осуществляемая ООО «Группа компаний «МДА»,  включает действия по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных.

4.2.Обработка персональных данных осуществляется ООО «Группа компаний «МДА» с использованием средств автоматизации, без использования средств автоматизации, смешанным способом.

4.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.

4.4. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.

4.5. Обработка персональных данных (в том числе их хранение) осуществляется ООО «Группа компаний «МДА» в течение срока, необходимого для реализации целей обработки соответствующих персональных данных.

5. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1. Оператор проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.

5.2. Для разработки и осуществления конкретных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Оператором или уполномоченным лицом Оператором назначается ответственное лицо. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) Оператора или уполномоченного лица. При обнаружении нарушений порядка предоставления персональных данных Оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

6. ПРАВА ОПЕРАТОРА

6.1. ООО «Группа компаний «МДА» как Оператор персональных данных вправе:

• отстаивать свои интересы в суде;

• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные, судебные органы и др.), договорными отношениями с субъектами персональных данных или вытекает из существа фактических отношений с пользователями сайта

• отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

• использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством;

- при необходимости в целях исполнения своих обязательств в установленном порядке поручить обработку персональных данных третьим лицам.

В договоры с лицами, которым Оператор поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.

- иные права в соответствии с действующим законодательством.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;

• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

- на отзыв своего согласия на обработку персональных данных.

7.2. Согласие субъекта персональных данных на обработку его персональных данных может быть в любой момент отозвано путем направления соответствующего письменного уведомления Оператору.

7.3. Субъект персональных данных реализует свои права посредством письменного обращения к Оператору или в уполномоченные органы.

8. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 8.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

8.2. Согласие на обработку персональных должно быть конкретным, информированным и сознательным.

8.2.  Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в том числе (при использовании сайта www.mdagroup.ru согласие на обработку их персональных данных дается пользователями путем совершения действий (нажатие кнопки согласия).

8.3. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.2. Настоящая Политика является внутренним документом ООО «Группа компаний  «МДА», и подлежит размещению на официальном сайте ООО «Группа компаний «МДА».

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных ООО «Группа компаний «МДА».

9.4. Правовое регулирование вопросов обработки персональных данных, не закрепленных настоящим Положением, осуществляется на основании действующего законодательства.

Последние новости об учете и аудите