Политика конфиденциальности

1.ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Настоящая Политика конфиденциальности и обработки персональных данных (далее — Политика) разработана и принята в целях обеспечения конфиденциальности и защиты прав и свобод субъекта персональных данных при обработке его персональных данных, а также установления ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований законодательства и локальных актов в рбласти персональных данных.

1.2. Политика определяет порядок, принципы и условия обработки персональных данных субъектов в Обществе с ограниченной ответственностью «ВиндМилл Консалтинг Групп (далее – Оператор).

1.3. Настоящая Политика разработана в соответствии с требованиями законодательных и нормативных правовых актов Российской Федерации в области защиты персональных данных, в том числе:

• Гражданский кодекс РФ;

• Трудовой кодекс РФ;

• Налоговый кодекс РФ;

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

• Федеральный закон от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности» (Далее – Закон №307-ФЗ);

• Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (Далее – Закон №115-ФЗ);

• Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Постановление Правительства РФ от 29.06.2021 N 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных»;

• Других нормативных актов.

1.4. Политика размещается в свободном доступе на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://wmcg.ru.

2. ОСНОВНЫЕ ТЕРМИНЫ, ИСПОЛЬЗУЕМЫЕ В ПОЛОЖЕНИИ.

Оператор персональных данных – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются оператором персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Сайт — сайт ООО «ВиндМил Консалтинг Групп», в информационно-телекоммуникационной сети «Интернет», с использованием которого осуществляется сбор персональных данных, расположенный на следующем доменном имени: https://wmcg.ru.

3.УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Оператор ограничивает обработку персональных данных субъекта достижением конкретных, заранее определенных и законных целей, исключая какие-либо действия, несовместимые с целями сбора персональных данных.

3.2. Оператор обрабатывает только персональные данные, отвечающие заявленным целям их сбора по содержанию и объему, обеспечивая их точность и достаточность, а в необходимых случаях и актуальность, путем уточнения или удаления неполных или неточных данных.

3.3. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, в течение срока, необходимого для реализации заявленных целей, если иное не установлено законодательными или иными нормативно-правовыми актами, договором (соглашением). По достижении целей обработки, а также в случаях, установленных законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию.

3.4. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, в течение срока, необходимого для реализации заявленных целей, если иное не установлено законодательными или иными нормативно-правовыми актами, договором (соглашением). По достижении целей обработки, а также в случаях, установленных законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию.

3.5. Оператор не осуществляет трансграничную передачу персональных данных субъектов на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

3.6. Оператор не осуществляет обработку персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

4.ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ИХ СОСТАВ И ЦЕЛИ ОБРАБОТКИ. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. Для каждой цели обработки персональных Оператором данных определяются:

• категории и перечень обрабатываемых персональных данных;
• категории субъектов персональных данных, персональные данные которых обрабатываются Оператором;
• способы и сроки обработки и хранения персональных данных;
• порядок уничтожения персональных данных.

4.2. Цель: Регулирование трудовых и тесно связанных с ними отношений (в том числе, ведение кадрового, бухгалтерского и налогового учета).

Субъекты персональных данных: работники Оператора, уволенные работники, родственники работников.

Категории обрабатываемых персональных данных:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер лицевого счета; профессия; должность; научная степень; сведения об образовании, профессиональной подготовке, повышения квалификации; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; фото-видео изображение лица; сведения о судимости.

4.3. Цель: Подготовка, заключение и исполнение Оператором договоров (соглашений) с клиентами и контрагентами.

Субъекты персональных данных: Клиенты и контрагенты Оператора, а также их представители и бенефициары.

Категории обрабатываемых персональных данных:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность.

4.4. Цель: Предоставление Оператором информации на обращения (запросы, предложения, комментарии и прочие сообщения).

Субъекты персональных данных: Посетители сайта, потенциальные клиенты (клиенты).

Категории обрабатываемых персональных данных:

Фамилия, имя, отчество; адрес электронной почты; номер телефона; должность; наименование организации.

4.5. Цель: Организация стажировок (практик) студентов, учащихся учебных заведений.

Субъекты: учащиеся, студенты.

Категории обрабатываемых персональных данных:

Фамилия, имя, отчество; адрес электронной почты; номер телефона; наименование учебного заведения.

4.6. Цель: Обучение работников.

Субъекты: работники.

Категории обрабатываемых персональных данных:

Фамилия, имя, отчество; адрес электронной почты; номер телефона; должность, сведения о результатах прохождения обучения и освоения образовательной программы.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор обрабатывает персональные данные, полученные на основании конкретного, предметного, информированного, сознательного и однозначного согласия субъекта персональных данных (в том числе, в случае подписания такого согласия электронной подписью или предоставленное иным образом, позволяющим подтвердить факт его получения), если иной порядок не установлен законодательством и (или) договором (соглашением);

5.2. В случаях, предусмотренных законодательством и (или) договором (соглашением) персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, предусмотренных законодательством.

5.3. Обработка Оператором персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством о персональных данных и настоящей Политикой.

5.4. Оператор осуществляет обработку персональных данных с использованием средств автоматизации (информационных систем персональных данных), без использования таких средств и в смешанном порядке.

5.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях исключается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

5.6. Для обработки персональных данных Оператором применяются типовые (стандартные) формы документов (шаблоны (формы) согласий, разъяснений, заявлений, и пр.), в том числе рекомендованные уполномоченным органом по защите прав субъектов персональных данных.

5.7. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности, посредством осуществления следующих мероприятий:

• Назначены ответственные за организацию обработки персональных данных;

• Изданы локальные нормативные акты, определяющие политику Оператора и порядок обработки и защиты персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, и устранение последствий таких нарушений, устанавливающие правила доступа и обращения с персональными данными;

• Определены угрозы безопасности персональных данных и проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства, а также соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;

• Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, приказами по вопросам обработки персональных данных;

• Приняты меры по обнаружению и предупреждению несанкционированного доступа к персональным данным (в том числе к информационным системам персональных данных), реагированию на возможные инциденты и ликвидации возможных последствий такого доступа.

• Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.

• Обеспечена сохранность носителей персональных данных и средств защиты информации.

• Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (антивирусное программное обеспечение).

5.8. Оператор на регулярной основе осуществляет внутренний контроль и аудит соответствия обработки персональных данных и принимаемых мер по обеспечению безопасности персональных данных требованиям законодательства, настоящей Политики, другим локальным нормативным актам, а так же принимает иные меры, предусмотренные законодательством в области персональных данных.

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных обладает следующими правами:

6.1.1. Получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• • Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональных данные на основании договора с Оператором или на ином основании, установленном действующим законодательством;

• • Подтверждение факта обработки персональных данных;

• Правовые основания, цели и применяемые Оператором способы обработки персональных данных;

• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

• Сроки обработки и хранения персональных данных;

• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

• Сведения о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;

• Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством в сфере защиты персональных данных;

• Иные сведения, предусмотренные законодательством.

6.1.2. Требовать у Оператора уточнения персональных данных, их блокирования или уничтожения в течение срока, установленного действующим законодательством Российской Федерации в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки, а также принимать другие предусмотренные законом меры по защите своих прав.

6.1.3. Установить запрет на передачу (кроме предоставления доступа) персональных данных Оператором неограниченному кругу лиц, а также запрет на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц, в том числе путем внесения таких запретов и условий в согласие на обработку персональных данных при его подписании.

6.1.4. Отозвать согласие на обработку своих персональных данных. Для чего субъекту персональных данных необходимо подготовить отзыв своего Согласия на обработку персональных данных с указанием цели предоставления данных Оператору и направить его по адресу: 394077 г. Воронеж, ул. Владимира Невского, д.38Е, помещение I.

6.1.5 Реализовывать иные права, предусмотренные законодательством или договором (соглашением).

6.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

• Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

• Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.3. Оператор при получении и дальнейшей обработке информации, предоставленной субъектом персональных данных, исходит из следующих предпосылок:

• Субъект при предоставлении персональных данных гарантирует и несет ответственность за их точность, достоверность и актуальность;

• В целях реализации своих прав по обращению с персональными данными Субъект своевременно предоставит Оператору сведения об изменениях персональных данных, если такая обязанность установлена законодательством или договором (соглашением).

7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

7.1. Оператор персональных данных вправе:

• Обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью в порядке, установленном действующим законодательством и настоящей Политикой.

• Осуществлять проверку точности, достоверности и актуальности предоставляемых субъектом персональных данных в случаях, объеме и порядке, предусмотренных и установленных законодательством и целями получения и обработки таких данных.

• Отказывать в предоставлении персональных данных как самому субъекту, так и третьим лицам в случаях, предусмотренных законодательством;

• Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством, в том числе после отзыва субъектом своего согласия;

• Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.

• Обрабатывать общедоступные персональные данные физических лиц при наличии правовых оснований;

• Реализовывать иные права, предусмотренные законодательством.

7.2. Оператор персональных данных обязан:

• Соблюдать конфиденциальность персональных данных, если иное не предусмотрено законодательством или договором (соглашением);

• Использовать полученную информацию от субъектов персональных данных исключительно для целей и в порядке, определенном в настоящей Политике;

• Соблюдать конфиденциальность персональных данных, если иное не предусмотрено законодательством или договором (соглашением);

• Разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;

• Предоставить субъекту персональных данных по его просьбе информацию, определенную законодательством, а также обеспечить соблюдение иных прав субъекта при обработке его персональных данных;

• Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора по обеспечению конфиденциальности и защиты прав субъекта на охрану персональных данных, предусмотренных Законом № 152-ФЗ и иными законодательными актами РФ;

• Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством или договором (соглашением) (налоговые, правоохранительные органы, федеральные агентства и службы, регуляторы и контролирующие организации, другие государственные организации, банки, организации транспорта, лица, предоставляющие услуги оформления билетов, бронирования гостиниц, проживания, страховые организации, нотариусы, регистраторы, контрагенты, партнеры и пр.);

• Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;

• Осуществить блокирование персональных данных субъекта с момента его обращения либо уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий;

• Прекратить обработку персональных данных и уничтожить их в случае отзыва своего согласия на обработку персональных данных субъектом, за исключением случаев, предусмотренных законодательством или договором (соглашением);

• Прекратить обработку персональных данных и уничтожить их в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, за исключением случаев, предусмотренных законодательством или договором (соглашением);

• Уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;

• Своевременно представлять уполномоченному органу по защите прав субъектов персональных данных информацию об изменении целей и способах обработки персональных данных, а также запрошенные им документы и сведения;

• Выполнять иные обязанности, предусмотренные законодательством или заключенными договорами (соглашениями).

8.ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1. Оператор обрабатывает и хранит персональные данные субъекта в сроки, обусловленные целями сбора таких данных, и установленные законодательством и (или) договором (согласием), а также в течение срока исковой давности, в том числе обусловленные требованиями:

• Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

• Иных нормативно-правовых актов.

8.2. Оператор обеспечивает хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

8.3. Оператор прекращает обработку персональных данных субъекта в случаях:

• Достижения цели обработки персональных данных;

• Отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока его действия;

• Выявления неправомерной обработки персональных данных;

• Ликвидации Оператора;

• Иных основаниях, установленных законодательством и (или) договором (соглашением).

8.4. После истечения срока обработки персональных данных по основаниям, указанным в п.8.3, и (или) нормативного хранения материальных носителей (информации), содержащих персональные данные субъекта, или при наступлении иных законных оснований указанные материальные носители (информация) подлежат уничтожению в установленном законодательством порядке:

• На бумажном носителе — уничтожаются путем измельчения в шредере;

• В электронном виде — стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

9. COOKIES

Файлы cookies – это небольшие текстовые файлы, размещаемые на жестких дисках вашего компьютера во время посещения сайтов, предназначенные для повышения эффективности работы сайтов, а также получения владельцем сайта информации о ваших предпочтениях. Использование файлов cookies – стандартная на данный момент практика для большинства сайтов. Большинство браузеров позволяют просматривать файлы cookies и управлять ими, а также отказаться от получения файлов cookies и удалить их с жесткого диска устройства.

10.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Лица, нарушившие законодательство Российской Федерации и локальные нормативных акты ПДн, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

10.2. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Компании возлагается на их руководителей.

10.3. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных законодательством РФ и локальными нормативными актами в области ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.

11.1. Политика вступает в силу с момента ее утверждения и действует до ее замены в новой редакции, в случаях, установленных законодательством.

11.2. По вопросам реализации Политики, разъяснениям прав субъектов персональных данных, целей, порядка и способов обработки данных, а также в случае возникновения предложений или замечаний необходимо обратиться с письменным запросом по адресу: 394077 г. Воронеж, ул. Владимира Невского, д.38Е, помещение I или направить Оператору письмо по электронной почте: info@wmcg.ru.