Соглашение на обработку персональных данных

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных в ООО "ОКПРИНТ" (далее – Оператор).

1.2. Оператор осуществляет деятельность на основании следующих реквизитов: ОГРН 1227700384340, ИНН 7734456262, КПП 773401001, юридический адрес: 123060, г. Москва, внутригородская территория города федерального значения муниципальный округ Щукино, ул. Маршала Рыбалко, д. 2, к. 6, помещ. 1128/1, офис 32.

1.3. Единоличным исполнительным органом Оператора является директор Жданов Владимир Станиславович.

1.4. Настоящий документ устанавливает общие принципы, цели, правовые основания, порядок и условия обработки персональных данных, а также меры по обеспечению их безопасности.

1.5. Термины, используемые в настоящей Политике, применяются в значениях, установленных законодательством Российской Федерации. Основные понятия приведены в таблице 1.

Таблица 1 – Основные термины и определения

1.6. Настоящая Политика подготовлена с учетом требований законодательства Российской Федерации в области персональных данных.

1.7. Правовую основу настоящей Политики составляют:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.8. Актуальная редакция настоящей Политики размещается в открытом доступе на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://kartridgiopt.ru, в том числе на странице: https://kartridgiopt.ru/include/licenses_detail.php.

1.9. Требования Политики распространяются на работников Оператора, а также на иных лиц, допущенных к персональным данным на законных основаниях.

2. Цели обработки персональных данных

2.1. Оператор обрабатывает персональные данные для достижения следующих целей:

• предоставление консультаций посетителям сайта и обработка поступающих обращений;
• рассмотрение анкет и резюме кандидатов на вакантные должности;
• осуществление основной хозяйственной деятельности Оператора;
• ведение кадрового, налогового и бухгалтерского учета;
• исполнение договорных обязательств перед клиентами, контрагентами и иными лицами;
• обеспечение взаимодействия с представителями контрагентов и деловыми партнерами.

3. Правовые основания обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных на следующих правовых основаниях:

• согласие субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие требуется законодательством;
• договоры, заключаемые между Оператором и субъектом персональных данных, а также действия, необходимые для заключения таких договоров по инициативе субъекта;
• необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Устав Оператора;
• иные нормативные правовые акты, регулирующие деятельность Оператора и вопросы обработки персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. В зависимости от целей обработки Оператор может обрабатывать персональные данные следующих категорий субъектов:

• посетители сайта;
• соискатели;
• контрагенты;
• представители контрагентов;
• контактные лица контрагентов;
• работники;
• бывшие работники;
• родственники работников в случаях, предусмотренных законодательством.

4.2. Для каждой цели обработки Оператор определяет состав персональных данных, категории субъектов, способы обработки, сроки хранения и порядок уничтожения персональных данных во внутренних документах и организационно-распорядительных актах.

Использование метрических программ. На веб-сайте Оператора, расположенном по адресу https://kartridgiopt.ru, могут использоваться метрические и аналитические сервисы, необходимые для анализа посещаемости, улучшения работы сайта и повышения качества обслуживания пользователей.

Указанные сервисы могут обрабатывать обезличенные и технические сведения, в том числе IP-адрес, данные cookie, сведения о браузере пользователя, характеристиках устройства, операционной системе, времени посещения страниц, источнике перехода и иных параметрах взаимодействия с сайтом.

Порядок использования таких данных определяется правилами соответствующих сервисов и их правообладателей.

Отключение файлов cookie пользователем может повлиять на корректность работы отдельных функций сайта.

5. Принципы и условия обработки персональных данных

5.1. При обработке персональных данных Оператор руководствуется следующими принципами:

• обработка осуществляется на законной и добросовестной основе;
• обработка ограничивается заранее определенными и правомерными целями;
• не допускается обработка, несовместимая с целями первоначального сбора персональных данных;
• не допускается объединение баз данных, обработка которых ведется в целях, несовместимых между собой;
• обрабатываются только те персональные данные, которые отвечают заявленным целям обработки;
• содержание и объем персональных данных должны соответствовать заявленным целям;
• не допускается избыточность персональных данных по отношению к целям их обработки;
• при обработке обеспечиваются точность, достаточность и при необходимости актуальность персональных данных;
• принимаются меры по удалению либо уточнению неполных или неточных данных;
• хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иной срок не установлен законом или договором.

5.2. Оператор вправе осуществлять как автоматизированную, так и неавтоматизированную обработку персональных данных. В состав операций по обработке могут входить сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, предоставление, доступ, блокирование, удаление, уничтожение, обезличивание и иные действия, предусмотренные законодательством.

5.3. При сборе персональных данных Оператор обеспечивает их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, расположенных на территории Российской Федерации, если иное не вытекает из требований законодательства.

5.4. Передача персональных данных третьим лицам осуществляется Оператором только при наличии законных оснований и с соблюдением требований законодательства Российской Федерации. Оператор вправе поручить обработку персональных данных другому лицу на основании договора. В таких случаях договором определяются цели обработки, перечень персональных данных, состав действий с ними, требования к конфиденциальности и безопасности, а также иные обязательные условия, предусмотренные законодательством.

5.5. Если обработка персональных данных поручена третьему лицу, ответственность перед субъектом персональных данных за действия такого лица несет Оператор, если иное не предусмотрено законом.

5.6. Обработка персональных данных прекращается при достижении целей обработки, при отзыве согласия субъекта персональных данных в предусмотренных законом случаях, при выявлении неправомерной обработки, а также при наступлении иных оснований, установленных законодательством Российской Федерации.

5.7. Трансграничная передача персональных данных Оператором не осуществляется, если иное прямо не будет предусмотрено законодательством и внутренними документами Оператора.

5.8. Оператор обеспечивает режим конфиденциальности персональных данных. Работники и иные лица, получившие доступ к таким данным, обязаны не раскрывать и не распространять их без надлежащих правовых оснований.

5.9. Обработка иных категорий персональных данных допускается при соблюдении одного или нескольких следующих условий:

• получено согласие субъекта персональных данных на обработку его персональных данных;
• обработка необходима для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта;
• обработка необходима для выполнения обязанностей и осуществления прав Оператора, предусмотренных законом;
• обработка осуществляется в иных случаях, прямо допускаемых законодательством Российской Федерации.

5.10. Обработка специальных категорий персональных данных допускается только в случаях и в порядке, установленных законодательством Российской Федерации.

6. Реализация мер обеспечения безопасности персональных данных

6.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного либо случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

6.2. К таким мерам, в частности, относятся:

• назначение лица, ответственного за организацию обработки персональных данных;
• разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
• осуществление внутреннего контроля за соответствием обработки персональных данных требованиям законодательства и внутренним документам Оператора;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, и соотношение указанного вреда с принимаемыми мерами защиты;
• ознакомление работников с требованиями законодательства Российской Федерации о персональных данных и внутренними документами Оператора;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• реализация организационных и технических мер защиты с учетом требований законодательства Российской Федерации;
• установление режима безопасности помещений, в которых размещаются носители персональных данных и информационные системы;
• обеспечение учета и сохранности носителей персональных данных;
• разграничение и контроль доступа к персональным данным;
• использование средств защиты информации в случаях, когда это необходимо и предусмотрено требованиями законодательства;
• применение антивирусной защиты, межсетевого экранирования и иных средств обеспечения информационной безопасности;
• своевременное обновление программного обеспечения и средств защиты информации;
• защита технических средств, используемых при обработке персональных данных.

6.3. В случаях, предусмотренных законодательством Российской Федерации, Оператор обеспечивает взаимодействие с уполномоченными государственными органами по вопросам выявления и расследования инцидентов безопасности, связанных с персональными данными.

7. Обработка персональных данных без использования средств автоматизации

7.1. При обработке персональных данных без использования средств автоматизации такие данные должны быть обособлены от иной информации, в том числе путем фиксации на отдельных материальных носителях, в специальных разделах, журналах, формах и иных документах.

7.2. Не допускается размещение на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для различных категорий персональных данных используются отдельные носители.

7.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте такой обработки, категориях персональных данных, особенностях и правилах работы с ними, установленных законодательством и локальными документами Оператора.

7.4. При применении типовых форм документов, допускающих внесение персональных данных, должны соблюдаться следующие условия:

• в форме либо связанных с ней документах указываются цель обработки, наименование и адрес Оператора, источник получения персональных данных, сроки обработки и перечень совершаемых действий;
• при необходимости получения письменного согласия форма должна предусматривать возможность выражения такого согласия субъектом персональных данных;
• форма должна обеспечивать возможность ознакомления субъекта только со своими персональными данными без нарушения прав иных лиц;
• не допускается объединение в одной форме полей для персональных данных, обрабатываемых в несовместимых целях.

7.5. Если на одном материальном носителе зафиксированы персональные данные, цели обработки которых несовместимы, Оператор принимает меры по их раздельной обработке, в том числе путем копирования допустимой к использованию информации или блокирования и уничтожения соответствующей части данных в установленном порядке.

7.6. Уничтожение или обезличивание части персональных данных допускается способами, исключающими дальнейшую обработку этих данных при сохранении возможности работы с иными сведениями, содержащимися на носителе, если это позволяет сам носитель.

7.7. Уточнение персональных данных при неавтоматизированной обработке осуществляется путем внесения изменений в документы и носители информации либо путем оформления новых документов с актуальными сведениями.

7.8. При обработке персональных данных без использования средств автоматизации Оператор обеспечивает:

• определение мест хранения персональных данных и перечня лиц, имеющих к ним доступ;
• раздельное хранение персональных данных, обрабатываемых для разных целей;
• условия хранения, исключающие несанкционированный доступ, утрату, повреждение или неправомерное использование носителей персональных данных.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы

8.1. Права субъектов персональных данных:

8.1.1. Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, включая:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и способы обработки персональных данных;
• наименование и место нахождения Оператора, а также сведения о лицах, которые имеют доступ к персональным данным или которым такие данные могут быть раскрыты на законных основаниях;
• перечень обрабатываемых персональных данных, относящихся к субъекту, и источник их получения;
• сроки обработки персональных данных, включая сроки хранения;
• порядок осуществления прав субъекта персональных данных;
• информацию о предполагаемой или осуществленной трансграничной передаче данных;
• сведения о лице, осуществляющем обработку по поручению Оператора, если такая обработка поручена;
• информацию о мерах, принимаемых Оператором для выполнения обязанностей, предусмотренных законодательством о персональных данных;
• иные сведения, предусмотренные законодательством Российской Федерации.

8.1.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными либо не требуются для заявленной цели обработки.

8.1.3. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных либо в судебном порядке.

8.1.4. Субъект персональных данных вправе на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда в случаях, предусмотренных законодательством Российской Федерации.

8.1.5. Оператор не осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг путем прямых контактов с потенциальным потребителем с использованием средств связи без наличия надлежащих правовых оснований.

8.2. Обязанности Оператора при сборе и обработке персональных данных:

8.2.1. При сборе персональных данных Оператор предоставляет субъекту по его просьбе информацию, касающуюся обработки его персональных данных, в объеме, предусмотренном законодательством Российской Федерации.

8.2.2. Если предоставление персональных данных и (или) согласия на их обработку является обязательным в соответствии с федеральным законом, Оператор разъясняет субъекту последствия отказа от предоставления таких данных и (или) согласия.

8.2.3. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки, за исключением случаев, прямо предусмотренных законом, сообщает субъекту:

• наименование и адрес Оператора;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемых пользователей персональных данных;
• права субъекта персональных данных, установленные законодательством;
• источник получения персональных данных.

8.2.4. Оператор вправе не предоставлять субъекту указанные сведения в случаях, прямо предусмотренных законодательством Российской Федерации.

8.2.5. Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставляет возможность ознакомления с ними в течение 10 рабочих дней с даты получения обращения или запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при направлении мотивированного уведомления.

8.2.6. В случае отказа в предоставлении информации Оператор направляет мотивированный ответ в письменной форме в срок, не превышающий 10 рабочих дней с даты обращения или получения запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при наличии предусмотренных законом оснований.

8.2.7. Оператор безвозмездно предоставляет субъекту либо его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту. В срок, не превышающий 7 рабочих дней со дня представления подтверждающих сведений, Оператор вносит необходимые изменения в неточные, неполные или неактуальные персональные данные либо уничтожает незаконно полученные или не требующиеся для заявленной цели обработки данные.

8.2.8. По запросу уполномоченного органа по защите прав субъектов персональных данных Оператор предоставляет необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при направлении мотивированного уведомления.

8.2.9. При выявлении неправомерной обработки персональных данных Оператор осуществляет блокирование таких данных либо обеспечивает их блокирование на период проверки с момента обращения субъекта, его представителя или получения запроса уполномоченного органа.

8.2.10. В случае подтверждения факта неточности персональных данных Оператор уточняет их в течение 7 рабочих дней со дня представления подтверждающих сведений и снимает блокирование.

8.2.11. В случае выявления неправомерной обработки персональных данных Оператор прекращает такую обработку в срок, не превышающий 3 рабочих дней с даты выявления. Если обеспечить правомерность обработки невозможно, персональные данные подлежат уничтожению в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки.

8.2.12. В случае выявления факта неправомерной или случайной передачи, предоставления, распространения либо доступа к персональным данным, повлекших нарушение прав субъектов персональных данных, Оператор уведомляет уполномоченный орган в порядке и сроки, установленные законодательством Российской Федерации.

8.2.13. При достижении цели обработки персональных данных Оператор прекращает их обработку и уничтожает персональные данные либо обеспечивает их уничтожение в срок, не превышающий 30 дней, если иное не предусмотрено законодательством Российской Федерации или договором.

8.2.14. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает обработку и уничтожает персональные данные либо обеспечивает их уничтожение в срок, не превышающий 30 дней с даты поступления такого отзыва, если отсутствуют иные законные основания для продолжения обработки.

8.2.15. В случае обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных Оператор обязан прекратить такую обработку или обеспечить ее прекращение в срок, не превышающий 10 рабочих дней с даты получения требования, если иное не предусмотрено законодательством Российской Федерации. Этот срок может быть продлен не более чем на 5 рабочих дней при наличии законных оснований и направлении мотивированного уведомления.

8.2.16. Если уничтожение персональных данных в установленный срок невозможно, Оператор блокирует такие данные и обеспечивает их уничтожение в срок не более 6 месяцев, если иной срок не установлен федеральным законом.

8.3. Порядок рассмотрения запросов субъектов персональных данных и их представителей может дополнительно определяться внутренними документами Оператора.

9. Ответственность

9.1. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут ответственность в соответствии с действующим законодательством.

9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, правил обработки персональных данных или требований к их защите, подлежит возмещению в порядке, установленном законодательством Российской Федерации, независимо от возмещения имущественного вреда и понесенных убытков.