Квест «Школа Магії» у Києві

1. Загальні положення

1.1. Це Положення визначає політику, порядок та умови обробки персональних даних суб’єктів персональних даних у ТОВ «Квесторія» (надалі — Компанія), встановлює процедури, направлені на запобігання та вияв порушень законодавства України, усунення наслідків таких порушень, пов’язаних з обробкою персональних даних. Усі питання, пов’язані з обробкою персональних даних, не врегульовані цим Положенням, вирішуються у відповідності до чинного законодавства України у сфері персональних даних.

2. Види та місцезнаходження персональних даних.

2.1. У Компанії обробляються персональні дані наступних суб’єктів:
— співробітників Компанії, у т.ч. осіб, які працюють за договорами підряду, оплатного надання послуг ;
— фізичних осіб, які перебувають у договірних та інших цивільно-правових відносинах з Компанією.
2.2. Персональні дані співробітників Компанії зберігаються у документах персонального обліку співробітників, фінансові документації, яка формується в процесі здійснення професійної діяльності Компанії.
2.3. Склад персональних даних співробітників Компанії, які обробляються:
— ПІБ;
— фотографія;
— дата народження;
— місце народження;
— стать;
— дані документів, що посвідчують особу;
— військове звання;
— ІПН (за наявності);
— унікальний номер запису у реєстрі (УРЗР);
— адреса реєстрації/ місце фактичного проживання;
— громадянство;
— працездатність;
— контактні дані (контактний телефон; адреса електронної пошти);
— місце роботи та посада;
— відомості про доходи;
— освіта;
— відомості про дітей.
2.4.Персональні дані інших суб’єктів містяться у договорах, які вони укладають, документах, які відносяться до виконання даних договорів, та інформаційній системі обробки персональних даних.
2.5. Склад персональних даних інших суб’єктів, які обробляються:
— ПІБ;
— дата народження;
— дані документів, що посвідчують особу;
— ІПН(за наявності);
-унікальний номер запису у реєстрі (УРЗР),
— адреса реєстрації/ місце фактичного проживання;
— громадянство;
— контактні дані (контактний телефон; адреса електронної пошти).

3. Мета обробки персональних даних.

3.1. Обробка персональних даних співробітників Компанії здійснюється з метою регулювання трудових відносин між Компанією та співробітниками.
3.2. Обробка персональних даних інших суб’єктів здійснюється з метою забезпечення виконання робіт та надання послуг, визначених Статутом Компанії, виконання договірних зобов’язань Компанії перед клієнтами, надання можливості контрагентам Компанії виконання зобов’язань, які передбачені договорами між Компанією та її контрагентами, контролю якості надання послуг співробітниками Компанії та її контрагентами.

4. Загальні положення про обробку персональних даних.

4.1. Обробка персональних даних в інформаційних системах персональних даних із застосуванням засобів автоматизації.
4.1.1. Обробка персональних даних в інформаційних системах персональних даних із застосуванням засобів автоматизації здійснюється згідно законодавства України у сфері захисту персональних даних.

4.2. Обробка персональних даних, що здійснюється без застосування засобів автоматизації.
4.2.1. Обробка персональних даних, які знаходяться в інформаційній системі персональних даних або тих, що вилучені з такої системи, вважається здійсненою без застосування засобів автоматизації (неавтоматизованою), якщо такі дії з персональними даними, як застосування, уточнення, розповсюдження, знищення персональних даних стосовно кожного з суб’єктів персональних даних, здійснюються за безпосередньої участі людини.
4.2.2. Обробка персональних даних не може бути визнана такою, що здійснюється із застосуванням засобів автоматизації тільки на тих підставах, що персональні дані зберігаються в інформаційній системі персональних даних або були вилучені з неї.
4.2.3. У разі використання типових форм документів, характер інформації у яких передбачає або допускає включення у них персональні дані (далі — типова форма), повинні дотримуватися наступні умови:
— типова форма або пов’язані з нею документи (інструкція про її заповнення, картки, реєстри та журнали) повинні містити відомості про мету обробки персональних даних, що здійснюється без застосування засобів автоматизації; про назву та адресу Компанії; прізвище, ім’я, по-батькові та адресу суб’єкта персональних даних; джерело отримання персональних даних; строки обробки персональних даних; перелік дій з персональними даними, які здійснюватимуться в процесі їхньої обробки; загальний опис способів обробки персональних даних, які застосовуються Компанією;
— типова форма повинна передбачати поле, у якому суб’єкт персональних даних може поставити відмітку про свою згоду на обробку персональних даних, яка здійснюється без застосування засобів автоматизації, у разі необхідності отримання письмової згоди на обробку персональних даних;
— типова форма повинна бути складена таким чином, щоб кожен із суб’єктів персональних даних, які містяться в документі, мав можливість ознайомитися зі своїми персональними даними, які містяться в документі, не порушуючи прав та законних інтересів інших суб’єктів персональних даних;

5. Порядок забезпечення безпеки персональних даних.

5.1. Отримання персональних даних

5.3.1. Отримання персональних даних суб’єктів можливе як від самого суб’єкта, так і від інших джерел.
Згода суб’єкта на отримання його персональних даних від третіх осіб не потрібна у випадках, коли згода суб’єкта на надання його персональних даних третім особам отримана від нього у письмовій формі під час укладення договору з Компанією (тільки персональних даних вказаних у договорі), а також у випадках, встановлених законодавством України .
5.3.2. Компанія має право перевіряти достовірність відомостей, наданих суб’єктом персональних даних, звіряючи дані, надані суб’єктом, з документами, які має Компанія.
5.3.3. Компанія до початку обробки персональних даних зобов’язана повідомити суб’єктові мету обробки персональних даних та її правові підстави, включно з інформацією про характер персональних даних, що підлягають обробці та про джерела отримання персональних даних, припустимих користувачів персональних даних, способи обробки персональних даних, а також порядок відмови суб’єкта персональних даних від надання права на обробку своїх персональних даних та можливі наслідки такої відмови.

5.4. Зберігання персональних даних
5.4.1. Персональні дані суб’єктів персональних даних зберігаються:
— у паперовому вигляді у теках у шафах, які надійно зачиняються, ящиках столів, сейфах, які забезпечують захист від несанкціонованого доступу;
— в електронному вигляді в інформаційній системі персональних даних. Доступ до інформаційної системи персональних даних, яка містить персональні дані, забезпечується використанням засобів захисту від несанкціонованого доступу та копіювання.
5.4.2. Працівник, який має доступ до персональних даних співробітників Компанії у зв’язку з виконанням трудових обов’язків:
— забезпечує зберігання інформації, що містить персональні дані, яке виключає доступ до них третіх осіб.

5.5. Доступ до персональних даних та передавання персональних даних
5.5.1. Доступ до персональних даних суб’єкту мають співробітники Компанії, яким персональні дані необхідні у зв’язку з виконанням ними трудових обов’язків і тільки в необхідному обсязі. Перелік осіб, які мають доступ до персональних даних, визначається Генеральним директором Компанії та затверджується наказом по Компанії.
5.5.2. У разі, якщо Компанії надаються послуги юридичними та фізичними особами на підставі укладених договорів, згідно яких їм може бути надано доступ до конфіденційної інформації (у т.ч. до персональних даних суб’єктів), то до початку виконання договору повинна бути підписана угода про нерозголошення конфіденційної інформації між Компанією та вказаними фізичними або юридичними особами, або положення про нерозголошення конфіденційної інформації повинні бути включені у текст відповідних договорів зі вказаними фізичними та юридичними особами.
5.5.3. Суб’єкт Персональних даних має право на вільний доступ до своїх персональних даних. Суб’єкт має право вносити пропозиції по внесенню змін у свої дані у разі виявлення в них неточностей.
Суб’єкт персональних даних має право на отримання під час звернення інформації, яка стосується обробки його персональних даних, у тому числі такої, що містить:
— підтвердження факту обробки персональних даних Компанією, а також мету такої обробки;
— способи обробки персональних даних, які застосовуються Компанією;
— перелік персональних даних, що обробляються та джерело їхнього отримання;
— строки обробки персональних даних, у тому числі строки їхнього зберігання;
5.5.6. Доступ до своїх персональних даних надається суб’єкту персональних даних, який не є працівником Компанії, або його законному представникові за отримання запиту суб’єкта персональних даних або його законного представника. Запит повинен містити номер основного документу, який посвідчує особу суб’єкта персональних даних або його законного представника, відомості про дату видачі вказаного документу та орган, який його видав та власноручний підпис суб’єкта персональних даних або його законного представника.
5.5.7. Передача персональних даних всередині Компанії здійснюється тільки між співробітниками, які мають доступ до персональних даних.
5.5.8. Передача персональних даних третім особам (фізичним та юридичним):

1) Передача персональних даних суб’єкта третім особам здійснюється лише за письмової згоди суб’єкта (відомості, які мають міститися у письмовій згоді суб’єкта), за виключенням випадків, встановлених законодавством України.
2) Представникові суб’єкта персональні дані передаються за наявності довіреності представника суб’єкта або письмової заяви суб’єкта, написаної у присутності співробітника Компанії.
3) Надання персональних даних суб’єкта уповноваженому органу з захисту прав суб’єктів Персональних даних, на який покладаються функції з забезпечення контролю та нагляду за відповідністю обробки Персональних даних законодавству України «Про захист персональних даних», здійснюється за запитом.
4) Надання персональних даних суб’єкта іншим державним органам здійснюється згідно діючого законодавства України.
5.5.9.Передача персональних даних на територію інших держав здійснюється у відповідності до закону України «Про захист персональних даних».
5.5.10. Метою передачі персональних даних клієнтів Компанії за кордон є виключно виконання договору, стороною якого є суб’єкт персональних даних.

5.7. Знищення персональних даних
5.7.1. Персональні дані підлягають знищенню у разі досягнення мети обробки або у разі зникнення необхідності її досягнення, якщо інше не передбачено законодавством, а також у разі виявлення неправомірних дій з персональними даними і неможливістю усунення порушень у термін, встановлений законодавством.
5.7.2. У разі відкликання суб’єктом персональних даних згоди на обробку своїх персональних даних Компанія зобов’язана припинити обробку персональних даних та знищити персональні дані у термін, що не перевищує трьох робочих днів з дати надходження вказаного відкликання, якщо інше не передбачене угодою між Компанією та суб’єктом персональних даних. Про знищення персональних даних Компанія зобов’язана повідомити суб’єкта персональних даних.

5.8. Права та обов’язки суб’єктів персональних даних
5.8.1. Суб’єкти персональних даних мають право:
А) Отримувати доступ до власних персональних даних та переглядати їх.
Б) Отримувати від Компанії:
— підтвердження факту обробки персональних даних, відомості про мету такої обробки;
— відомості про способи обробки персональних даних, які застосовуються Компанією;
— відомості про осіб, які мають доступ до персональних даних або яким може бути надано такий доступ;
— перелік персональних даних;
— строки обробки персональних даних, у тому числі строки їх зберігання;
— відкликати свою згоду на обробку Компанією персональних даних суб’єкта.

6. Порядок введення в дію та зміна Положення.

8.1. Це Положення вступає в силу з моменту його затвердження керівником Компанії.
8.2. Усі зміни в Положення вносяться наказом.