Политика конфиденциальности

ПОЛИТИКА (ПОЛОЖЕНИЕ) ООО СОНИ МЬЮЗИК ЭНТЕРТЕЙНМЕНТ («КОМПАНИЯ») В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Термины и Определения:

  • Персональные данные: информация, относящаяся к конкретному субъекту и/или его представителю, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, паспортные и/или регистрационные данные, контактные данные, в том числе адрес электронной почты, номер телефона, при необходимости и в отдельных случаях: творческий псевдоним, семейное и социальное положение, образование и профессия, доходы и банковские реквизиты, а также другая информация, позволяющая идентифицировать личность субъекта, и необходимая Компания в связи с трудовыми или иными отношениями с субъектом;
  • Обработка персональных данных: действия (операции) с персональными данными субъекта, включая сбор, систематизацию, накопление, хранение, уточнение (обновление и изменение), использование, передачу и уничтожение;
  • Передача персональных данных: действия, направленные на передачу персональных данных субъекта определенному лицу (кругу лиц)[1];
  • Конфиденциальность персональных данных: обязательное для соблюдения Компанией требование не допускать распространения персональных данных субъекта без его согласия или наличия иного законного основания;
  • Использование персональных данных-, действия или операции с персональными данными субъекта, совершаемые Компанией в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта либо иным образом затрагивающих его права и свободы;
  • Должностные лица Компании: лица, уполномоченные представлять Компанию при регулировании трудовых отношений, и/или лица, к чьим задачам и функциям относятся управление персоналом, ведение кадрового делопроизводства, а также обработка и защита персональных данных.
  1. ОБЩИЕ ПОЛОЖЕНИЯ

С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Российской Федерации в сфере обработки и обеспечения безопасности персональных данных, в том числе норм и требований:

  • Трудового кодекса Российской Федерации,
  • Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных», а также
  • нормативных актов Правительства Российской Федерации,
  • Федеральной службы по техническому и экспортному контролю,
  • Федеральной службы безопасности и
  • Иных нормативных актов в области информатизации и защиты информации,

Компания считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных своих работников и иных субъектов (партнеры, клиенты, подрядчики и пр.) в бизнес-процессах Компании.

Для решения данной задачи в Компании введена, функционирует, проходит периодический пересмотр и мониторинг система защиты персональных данных. Компания стремится к постоянному совершенствованию системы защиты персональных данных. Во всем, что не определено настоящей Политикой, Компания руководствуется действующим законодательством Российской Федерации.

  1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Компании основана на следующих приниипах:

  • законности целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям, правам и обязанностям Компании;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных.
  1. РЕАЛИЗОВАННЫЕ ТРЕБОВАНИЯ В ЧАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно Разделу 1 настоящей Политики, система защиты персональных данных Компании основана на принципах и требованиях законодательства Российской Федерации.

Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами безопасности персональных данных Компания принимает необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

В Компании согласно выпущенному Компанией Приказу назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных. Данные лица обязаны непрерывно повышать свой уровень знаний в сфере обеспечения безопасности персональных данных при их обработке.

Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

 

  1. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ПОЛИТИКИ

Настоящая Политика является локальным нормативным актом Компании, регулирующим отношения, связанные с обработкой и защитой персональных данных указанных ниже субъектов, устанавливающим права и обязанности Компании в области обработки персональных данных и обеспечения их безопасности:

  • Работники Компании, вступающие в трудовые отношения с Компанией;
  • Кандидаты на вакантную должность Компании;
  • Партнеры /контрагенты /подрядчики — физические лица;
  • Артисты, агенты, представители артистов;
  • Иные лица, предоставляющие персональные данные Компании.

Политика должна обеспечивать защиту прав и свобод обозначенных выше субъектов при обработке их персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Требования настоящего Положения обязательны для исполнения всеми должностными лицами Компании. Субъекты обязаны ознакомиться с настоящим Положением под роспись, или дать свое согласие на передачу и обработку персональных данным посредством подписания соответствующих документов, являющихся Приложениями к настоящему Положению.

  • Получение и обработка персональных данных
  • Персональные данные Компания получает непосредственно от субъекта при наличии его письменного согласия, либо если субъект направляет письмо на адрес, указанный на сайте sonymusic.ru, такое согласие считается автоматически полученным.
  • Компания вправе получать персональные данные субъекта от третьих лиц (его уполномоченных представителей) при наличии письменного согласия субъекта или иным законным основаниям. При этом, если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено согласие.
  • При получении персональных данных Компания обязана информировать субъекта о целях и способах получения персональных данных, а также о последствиях отказа субъекта дать письменное согласие на их получение Компанией.
  • Компания не вправе требовать от субъекта предоставления информации о его политических, религиозных убеждениях, о частной жизни, о членстве в общественных и иных объединениях (за исключением случаев, предусмотренных федеральным законодательством Российской Федерации).
  • Субъект предоставляет свои персональные данные посредством заполнения Типовой формы Согласия на обработку персональных данных (Приложения к настоящему Положению), либо если субъект направляет письмо на адрес, указанный на сайте sonymusic.ru, такое согласие считается автоматически полученным.
  • Компания вправе проверить достоверность сведений, сверяя данные с предоставленными субъектом и имеющимися у Компании документами.
  • При изменении персональных данных субъект обязан уведомить об этом Компанию в разумный срок с предоставлением документов, подтверждающих достоверность новых сведений.
  • Хранение и использование персональных данных

Вся информация, относящаяся к персональным данным, хранится в физических носителях — папках и/или файлах, находящихся по месту нахождения Компании по адресу: г. Москва, ул. Новодмитровская, д.1, стр.6, 2 этаж, пом. 202. Должностные лица Компании ответственны за ведение, хранение и использование данных папок и файлов. Также, персональные данные субъектов хранятся в электронном виде в компьютерной сети, при этом в силу того, что Компания не имеет собственных размещенных на территории Российской Федерации серверов для хранения персональных данных, Компания использует серверы, предоставленные третьими лицами (IT провайдеры в соответствии с заключенными с Компанией договорами), и также часть данных обрабатывается на серверах, находящихся за пределами РФ (Ирландия, Германия) в целях предоставления почтовых адресов Работникам. Таким образом, Компания передает персональные данные для обработки за границу (трансграничная передача), но только при условии получения согласия от субъектов на такую передачу. Доступ к указанным выше данным имеют только уполномоченные на это должностные лица, и, при необходимости, в связи с осуществлением определенных действий, — лица, указанные в п. 3 Раздела «Термины и Определения» настоящего Положения.

  • Для обеспечения хранения и защиты персональных данных необходимо соблюдать следующие требования:
  • Издание приказа (распоряжения) о закреплении за определенными должностными лицами соответствующего массива документов, необходимых им для информационного обеспечения функций, и их ответственности за сохранность и конфиденциальность персональных данных;
  • Не допускается отвечать на вопросы, связанные с передачей персональных данных субъектов, по телефону. Ответы на письменные запросы третьих лиц (сторонние организации, государственные и муниципальные органы и пр.) даются в письменной форме на фирменном бланке Компании в том объеме, который позволяет не разглашать излишний объем персональных данных;
  • Личные дела (личные папки, картотеки, трудовые книжки и пр.) работников Компании должны храниться у должностного лица, ответственного за ведение кадрового делопроизводства, в специально отведенных шкафах или сейфах, защищенных от несанкционированного доступа;
  • Персональные данные работника используются только для целей, связанных с

выполнением работника его трудовых функций. Компания использует персональные данные работника для решения вопросов служебно­-профессионального продвижения работника, очередности предоставления ежегодного отпуска, установления заработной платы, формирования кадрового резерва, содействия работнику в трудоустройстве, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Компании;

  • На основании персональных данных работника решается вопрос о допуске работника к информации, составляющей служебную или коммерческую тайну;
  • Копировать или делать выписки из персональных данных субъекта возможно только с разрешения данного субъекта;
  • При принятии какого-либо решения, затрагивающего интересы субъекта, Компания не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронном получения, а также данных, имеющих двойное толкование.
  • Передача персональных данных
  • Персональные данные субъекта могут быть предоставлены уполномоченным государственным органам и иным лицам в порядке, установленном федеральными законами РФ.
  • Компания при необходимости обеспечивает учет выданных персональных данных субъектов, регистрирует запросы, фиксирует сведения о лице, направившем запрос, дате передачи персональных данных, с указанием, какая именно информация была передача.
  • В случае, если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением не получение информации, относящейся к персональным данным, и отсутствует согласие субъекта на предоставление его персональных данных лицу, обратившемуся с запросом, Компания обязана направить письменное уведомление об отказе в предоставлении персональных данных. К данным случаям не относятся случаи предупреждения угрозы жизни и здоровью субъекта.
  • Компания не вправе сообщать персональные данные субъектов в коммерческих целях без их письменного согласия.
  • Компания обязана предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что требование соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности.
  • Компания передает персональные данные представителям субъектов только в том порядке, который установлен законодательством, или соответствующими договорами, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций в отношении соответствующих субъектов.
  • Гарантии конфиденциальности
  • Информация, относящаяся к персональным данным субъектов, относится к категории конфиденциальной информации, имеет ограниченный доступ и разглашению не подлежит.
  • Защита персональных данных от их неправомерного использования или утраты обеспечивается Компанией путем применения организационных и технических средств защиты за её счет.
  • В целях обеспечения соблюдения своих законных прав и интересов субъекты имеют следующие права:
  • Получать полную информацию о своих персональных данных и обработке этих данных (в том числе и автоматизированной);
  • Получать выписки и копии любой записи, содержащей персональные данные соответствующих субъектов;
  • Требовать исключения, исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • Обжаловать в установленном законом, в том числе судебном, порядке действия или бездействия Компании при обработке и защите персональных данных.
    • Ответственность Компании

4.5.1. Должностные лица Компании, виновные в нарушении норм, регулирующих получение, обработку, передачу и защиту персональных данных субъекта, привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к административной и уголовной ответственности в порядке, предусмотренном действующим законодательством Российской Федерации.

 

  1. Заключительные положения

5.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

5.2. Настоящая Политика является внутренним документом ООО СМЭ, и подлежит размещению на интернет-сайте https://sonymusic.ru/.

5.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных ООО СМЭ.

[1] К таким лицам могут быть отнесены: должностные лица Компании, ответственные за обработку, передачу, конфиденциальность и использование персональных данных, пенсионный фонд, страховые организация и компании, кредитные организации, туристические компании, кадровые агентства, а также ООО «Амрита», ООО «РАДИКО», ООО «К-ПРО, WNS (Holdings) Limited, Sony Music Germany.