1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1.Политика обработки персональных данных АО «Газета Метро» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») и иными федеральными законами и подзаконными актами РФ, определяющими порядок и особенности обработки персональных данных и обеспечения их безопасности и конфиденциальности.
1.2.Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «Газета Метро» (далее – Общество) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3.Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к персональным данным.
1.4.Политика является общедоступной и подлежит размещению на официальном сайте Общества www.gazetametro.ru.
1.5.Утверждение, отмена и изменение Политики осуществляется приказом генерального директора Общества.
2.КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
•контрагенты (поставщики, подрядчики, исполнители, клиенты)
•работники контрагентов
•пользователи веб-сайта www.gazetametro.ru
•участники стимулирующих мероприятий, публичных конкурсов, проводимых Обществом
•заявители (лица, обратившиеся в Общество)
•лица, интервьюируемые редакцией, и иные лица, предоставляющие Обществу персональные данные при осуществлении редакцией Общества деятельности по производству и выпуску продукции средств массовой информации
•иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с законодательством Российской Федерации и заключенными Обществом договорами
2.2.Порядок обработки персональных данных кандидатов для приема на работу, работников Общества, уволенных работников, членов семей работников, должностных лиц коллегиальных органов управления Общества, членов ревизионной комиссии и кандидатов на такие должности определяется Положением об обработке персональных данных работников АО «Газета Метро».
3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2.Цели обработки персональных данных контрагентов (поставщиков, подрядчиков, исполнителей, клиентов, заказчиков):
•заключение, изменение, расторжение договоров
•выполнение обязательств по заключенным договорам
•предоставление информации об оказываемых услугах
•распространение рекламы клиентов
•формирование статистической отчетности
3.3.Цели обработки персональных данных работников контрагентов:
•выполнение обязательств по заключенным договорам и обязательств, предусмотренных законодательством РФ
3.4.Цели обработки персональных данных пользователей веб-сайта www.gazetametro.ru:
•сбор статистики для мониторинга, анализа и улучшение работы сайта, повышения качества и востребованности публикуемой информации
•таргетирование рекламных материалов
•сбор, обработка и представление статистических данных и других исследований
•идентификация обращений пользователей веб-сайта
3.5.Цели обработки персональных данных участников стимулирующих мероприятий, публичных конкурсов, проводимых Обществом:
•идентификация участников указанных мероприятий, определение победителей
•вручение призов и подарков
3.6.Цели обработки персональных данных заявителей:
•регистрация и рассмотрение обращений
•исполнение требований, предусмотренных законодательством РФ
3.7.Цели обработки персональных данных лиц, интервьюируемых редакцией, и иных лиц, предоставляющих Обществу персональные данные при осуществлении редакцией Общества деятельности по производству и выпуску продукции средств массовой информации:
•проверка достоверности сообщаемой информации
•распространение сведений о личной жизни граждан, изображений граждан
•публикация авторских произведений и писем, опровержений, ответов
•осуществление журналистами прав, предусмотренных Законом РФ от 27.12.1991 N 2124-1 «О средствах массовой информации» (далее – «Закон о СМИ»)
•реализация иных прав и обязанностей, предусмотренных Законом о СМИ и взаимосвязанными нормативно-правовыми актами, регулирующими деятельность средств массово информации
3.8.Конкретные цели обработки персональных данных также устанавливаются в согласии субъекта на обработку персональных данных.
4.КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.Персональные данные контрагентов, работников контрагентов:
•фамилия, имя, отчество
•пол
•сведения о гражданстве
•дата (число, месяц, год) и место рождения
•номер контактного телефона, адрес электронной почты и сведения о других способах связи
•сведения о замещаемой должности
•индивидуальный номер налогоплательщика (ИНН)
•реквизиты для осуществления расчетов
•сведения об образовании, опыте работы, квалификации
4.2.Персональные данные пользователей веб-сайта Общества www.gazetametro.ru:
•информация об используемом устройстве
•IP-адрес
•данные, сохраненные в файлах cookies
•информация об аппаратном и программном обеспечении
•информация о пользовательской активности во время использования веб-сайта, дата и время доступа к сайту, адреса запрашиваемых страниц
4.3.Персональные данные участников стимулирующих мероприятий, публичных конкурсов, проводимых Обществом:
•фамилия, имя, отчество
•пол
•возраст
•номер контактного телефона, адрес электронной почты и сведения о других способах связи
4.4.Персональные данные заявителей:
•персональные данные, указанные заявителем в обращении
•номер контактного телефона, адрес электронной почты и сведения о других способах связи
4.5.Персональные данные лиц, интервьюируемых редакцией, и иных лиц, предоставляющих Обществу персональные данные при осуществлении редакцией Общества деятельности по производству и выпуску продукции средств массовой информации:
•фамилия, имя, отчество
•пол
•дата (число, месяц, год) и место рождения
•номер контактного телефона, адрес электронной почты и сведения о других способах связи
4.6.Общество может обрабатывать иные персональные данные, предоставляемые по согласию субъекта или на условиях заключенного договора, и соответствующих заявленным целям обработки.
4.7.Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4.8.Общество не осуществляет обработку биометрических персональных данных, которые могут использоваться им для установления личности персональных данных. Общество не рассматривает фотографические изображения субъектов персональных данных, используемых им при осуществлении своей деятельности, как биометрические персональные данные, в случаях, если не используется биометрическая система распознавания лица.
5.ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.При осуществлении обработки персональных данных Общество руководствуется:
•Конституцией Российской Федерации
•Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»
•Гражданским, Трудовым, Налоговым кодексами Российской Федерации
•Федеральным законом от 06.12.2011 N402-ФЗ «О бухгалтерском учете»
•Федеральным законом от 26.12.1995 N208-ФЗ «Об акционерных обществах «
•Федеральным законом от 02.10.2007 N229-ФЗ «Об исполнительном производстве»
•Федеральным законом от 26.07.2006 N135-ФЗ «О защите конкуренции»
•Федеральным законом от 27.12.1991 N2124-1 «О средствах массовой информации»
•иными нормативно-правовыми актами Российской Федерации
•согласиями субъектов персональных данных
•договорами с контрагентами и субъектами персональных данных
•поручениями на обработку персональных данных
•Уставом Общества
•локальными нормативными актами Общества
6.ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Обработка персональных данных в Обществе осуществляется:
•при осуществлении прав и законных интересов Общества
•с согласия субъекта персональных данных
•в рамках исполнения договора, в том числе, по поручению контрагента
•для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных
•при осуществлении профессиональной законной деятельности средства массовой информации
•при исполнении возложенных законодательством Российской Федерации обязанностей
6.2.Обработка персональных данных осуществляется с соблюдением следующих принципов:
•законности, справедливости, прозрачности
•ограниченности целью обработки
•минимизации данных
•точности
•ограниченности срока хранения
•целостности и конфиденциальности
6.3.Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
6.4.Обработка персональных данных в Обществе выполняется следующими способами:
•неавтоматизированная обработка персональных данных
•автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой
•смешанная обработка персональных данных
6.5.Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется на основании отдельного согласия на обработку с соблюдением условий, предусмотренных ст. 10.1 Закона о персональных данных.
6.6.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
•получения оригиналов документов либо их копий, копирования оригиналов документов
•внесения сведений в учетные формы на бумажных и электронных носителях
•создания документов, содержащих персональные данные, на бумажных и электронных носителях
•внесения персональных данных в информационные системы
•включения персональных данных в состав внутренних справочных материалов
6.7.Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных, настоящей Политикой и Положением об обработке персональных данных работников Общества.
6.8.Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
•перечень действий с персональными данными
•цели обработки персональных данных;
•обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.
Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым Общество поручает обработку персональных данных Субъекта персональных данных.
6.9.Общество не осуществляет трансграничную передачу персональных данных.
7.МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
7.2.Для защиты персональных данных и предотвращения несанкционированного доступа к ним в Обществе:
•назначается работник, ответственный за обработку персональных данных
•утверждается перечень должностей, при замещении которых обрабатываются персональные данные
•утверждается перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных
•ведется учет хранения и обращения носителей информации
•утверждается порядок доступа в помещения, в которых обрабатываются и хранятся персональные данные
•осуществляется разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам, ведется учет их действий
•утверждается порядок передачи персональных данных в пределах Общества
•утверждается формы согласий на обработку персональных данных
•утверждается порядок защиты персональных данных при их обработке в информационных системах персональных данных
•утверждается порядок проведения внутренних расследований, проверок
•проводится определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз
•используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами
•принимаются локальные нормативные акты в области обработки и защиты персональных данных
•реализована система резервного копирования персональных данных
•при необходимости применяется шифрование данных
•используется шифрование трафика передачи персональных данных (HTTPS, IPSec, TLS, PPTP, SSH)
•используются средства мониторинга событий информационной безопасности
•проводится обучение работников требованиям законодательства в области персональных данных
•работники допускаются к обработке персональных данных подписания обязательства об их неразглашении
•обязанность сообщать о случаях несанкционированного доступа к персональным данным включена в должностные инструкции работников Общества, обрабатывающих персональные данные.
8.ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.Право на получение сведений об обработке его персональных данных (может быть ограничено федеральными законами).
8.2.Право на отзыв согласия на обработку персональных данных.
8.3.Право требовать уточнения или изменения персональных данных – если они являются неполными, неточными, устаревшими.
8.4.Право требовать блокирования или уничтожения персональных данных - если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.5.Право обжаловать действия или бездействия общества в Роскомнадзор и в судебном порядке – если Субъект считает, что обработка осуществляется с нарушением.
8.6.Право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9.РАССМОТРЕНИЕ ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.Обращения субъектов персональных данных принимаются по адресу электронной почты: legal@gazetametro.ru
9.2.Запрос субъекта персональных данных должен содержать:
•номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе,
•сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом
•подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
9.3.Предоставление сведений об обработке персональных данных.
Сведения предоставляются в течение 10 рабочих дней с момента обращения либо получения запроса. Срок может быть продлен не более чем на 5 рабочих дней, если направлено уведомление о причинах продления.
9.4.Уточнение и изменение персональных данных.
Уточнения и изменения вносятся в течение 7 рабочих дней с момента предоставления субъектом персональных данных информации, подтверждающей неполноту, неактуальность, неточность персональных данных.
9.5.Блокирование и уничтожение персональных данных.
Персональные данные блокируются на период проверки с момента обращения субъекта персональных данных, его представителя, получения запроса Роскомнадзора об их неправомерной обработке.
Незаконно полученные и не являющиеся необходимыми для цели обработки персональные данные уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
9.6.Прекращение обработки.
Обработка персональных данных прекращается в течение 10 рабочих дней с момента получения требования субъекта персональных данных о прекращении обработки. Срок может быть продлен не более чем на 5 рабочих дней, если направлено уведомление о причинах продления.
Обработка не прекращается в случаях, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных.
9.7.О внесении в персональные данные уточнений и изменений, об устранении нарушений в части неправомерной обработки Общество письменно уведомляет субъекта персональных данных, а также третьих лиц, которым были переданы такие персональные данные – по электронной почте. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных либо сам сделал запрос
10.СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1.Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого является субъект персональных данных.
10.2.Обработка персональных данных прекращается в следующих случаях:
•выявления факта неправомерной обработки
•при достижении целей их обработки
•по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных
•по требованию субъекта персональных данных
Законодательством Российской Федерации могут быть предусмотрены основания, исключающие прекращение обработки персональных данных в названных случаях.
10.3.Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ.
10.4.Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
11.ПОРЯДОК БЛОКИРОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1.Общество блокирует (временно прекращает обработку) или обеспечивает блокирование:
•неправомерно обрабатываемых персональных данных
•неточных персональных данных
Основанием для блокировки является обращение субъекта персональных данных, его представителя, запрос Роскомнадзора. Срок блокировки – с момента обращения, получения запроса на период проверки.
11.2.Персональные данные уничтожаются
•при достижении целей обработки – в течение 30 дней
•при утрате необходимости достижения целей обработки – в течение 30 дней
•если они были незаконно получены – в течение 7 рабочих дней
•если они не являются необходимыми для целей обработки – в течение 7 рабочих дней
•при достижении максимального срока хранения документов – в течение 30 дней
•при поступлении отзыва субъектом согласия на обработку – в течение 30 дней
•если Общество не вправе обрабатывать персональные данные субъекта на основаниях, предусмотренных федеральным законом – в течение 30 дней
Иное может быть предусмотрено договором (иным соглашением), стороной которого является субъект персональных данных.
11.3.Отбор материальных носителей персональных данных и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
11.4.Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
(1)Комиссия составляет список документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
(2)Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
(3)Требования к подтверждению уничтожения персональных данных утверждены Приказом Роскомнадзора от 28.10.2022 N 179.
12.ВНУТРЕННИЙ КОНТРОЛЬ, ПРОВЕРКИ, РАССЛЕДОВАНИЯ
12.1.Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
•за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов
•соответствием указанных актов требованиям законодательства в области персональных данных
12.2.Внутренние проверки проводятся на основании утвержденного ежегодного плана, либо по решению ответственного за организацию обработки персональных данных работника – при поступлении информации о нарушении.
По итогам проведения внутренней проверки определяется перечень мер по устранению выявленных нарушений и сроки их реализации.
12.3.Внутренние расследования проводятся, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент) и в иных случаях, предусмотренных законодательством в области персональных данных.
12.4.Уведомления Роскомнадзора об инцидентах
•в течение 24 часов – об инциденте, его предполагаемых причинах, причиненном вреде, принятых мерах по устранению последствий
•в течение 72 часов – о результатах внутреннего расследования, с предоставлением сведений о лицах, действия которых стали причиной инцидента (при наличии)
13.ОТВЕТСТВЕННОСТЬ
13.1.Лица, виновные в нарушении положений законодательства РФ при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.