Политика компании в отношении обработки персональных данных (далее - Политика)
1. Общие положения
1.1. Настоящая Политика разработана во исполнение требований Конституции Российской Федерации, п. 2 ч. 1 и ч. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» (далее — Закон о персональных данных), Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и с учетом положений действующего законодательства,
Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов обработки персональных данных и обрабатываемых Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных.
1.2. Настоящая Политика разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика действует в отношении всех обрабатываемых персональных данных, полученных как до издания соответствующей Политики, так и после, за исключением случаев, когда положения настоящей Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.4. Основные понятия, используемые в настоящей Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.6. Настоящая политика является общедоступным документом и публикуется в сети Интернет на сайте Оператора.
2. Основные принципы, цели и случаи обработки персональных данных
2.1. Обработка персональных данных субъектов персональных данных осуществляется Оператором на основе следующих принципов:
законности обработки персональных данных;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом либо договором, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;
право доступа для обработки персональных данных имеют работники Оператора в соответствии с возложенными на них должностными обязанностями;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Целями обработки персональных данных являются:
регулирование трудовых и иных связанных с ними отношений с работниками Оператора;
подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами;
реализация прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора либо достижения общественно значимых целей;
обеспечение соблюдения требований законодательства Российской Федерации;
исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе связанных с представлением персональных данных в налоговые органы, Пенсионный фонд Российской Федерации, Фонд социального
страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
соблюдение конфиденциальности информации при обработке персональных данных;
осуществление пропускного режима;
ведение бухгалтерского учета и иной отчетности Оператора;
продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
2.3. Обработка персональных данных Оператором допускается, если она:
осуществляется с письменного согласия субъекта персональных данных;
получена от третьего лица с последующим незамедлительным уведомлением и получением согласия субъекта персональных данных
необходима для исполнения договора/контракта, в котором субъект персональных данных выступает стороной, выгодоприобретателем или поручителем;
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
необходима для осуществления прав и законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
направлена на продвижение товаров, работ и услуг.
2.4. Не допускается обработка персональных данных, которая не соответствует законным целям.
3. Правовое основание обработки персональных данных
3.1. Обработка персональных данных осуществляется Оператором во исполнении и в соответствии с:
Конституцией Российской Федерации;
Гражданским кодексом Российской Федерации;
Трудовым кодексом Российской Федерации;
Налоговым кодексом Российской Федерации;
Федеральным законом от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»
Федеральным законом от 06.12.2011 N 402-ФЗ (ред. от 26.07.2019) "О бухгалтерском учете"
Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) "Об утверждении Перечня сведений конфиденциального характера"
иными нормативно-правовыми актами Российской Федерации, связанными с деятельностью Оператора
уставом Оператора
договорами, заключаемыми между Оператором и субъектами персональных данных;
согласием субъектов персональных данных на обработку их персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем и содержание обрабатываемых персональных данных должны соответствовать принципам и целям обработки, предусмотренным настоящей Политикой.
4.2. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
персональные данные работников Оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников – информация, необходимая Оператору в связи с трудовыми отношениями;
персональные данные клиентов, партнеров и контрагентов Оператора (физических лиц), а также работников/представителей юридического лица, являющегося клиентом или контрагентом Оператора – информация, необходимая Оператору для выполнения своих обязательств в рамках договорных отношений;
персональные данные иных лиц – информация, необходимая Оператору для реализации своих прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами.
4.3. Оператор обрабатывает следующие категории персональных данных:
- пол;
- возраст;
- фамилию, имя и отчество;
- паспортные данные;
- номера телефонов;
- адреса электронных почт;
- информацию о предпочтениях;
- cookies-файлы;
- сведения о родственниках;
- любые общедоступные персональные данные;
- фотографии;
5. Права и обязанности Оператора
5.1. Права Оператора:
в установленном законом порядке поручить обработку третьим лицам при условии предварительного получения согласия субъекта персональных данных, если иное не установлено законом;
в установленном законом порядке получать персональные данные от третьих лиц при условии уведомления Оператором субъекта персональных данных о начале осуществления обработки его персональных данных и/или получения согласия на обработку персональных данных от субъекта персональных данных;
принимать локальные нормативные акты, направленные на совершенствование настоящей Политики;
отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона «О персональных данных»;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
привлекать к ответственности за нарушение законодательства о персональных данных лиц, ответственных в соответствии с локальными нормативными актами за обработку персональных данных;
осуществлять иные права, предоставленные Оператору в соответствии с законодательством.
5.2. Обязанности Оператора:
соблюдать законодательство Российской Федерации в области обработки персональных данных;
предоставлять субъекту персональных данных запрашиваемую информацию в соответствии с пунктами настоящей Политики;
разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Закона о персональных данных, если персональные данные получены не от субъекта персональных данных до начала обработки таких персональных данных, за исключением случаев, предусмотренных частью 4 этой же статьи;
обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети "Интернет", за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных;
не раскрывать третьим лицам и не распространять персональные данные без согласия субъектов персональных данных;
информировать сотрудников о целях, источниках и способах получения персональных данных, о характере этих персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение;
уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Закона о персональных данных;
принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
устранять нарушения законодательства в области персональных данных, допущенные при обработке, в том числе уточнять, блокировать и уничтожать персональные данные;
предоставлять по запросу уполномоченного органа по защите прав субъекта персональных данных необходимую информацию в течение 30 (Тридцати) дней с даты получения такого запроса;
разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
5.3. В случае, если Оператор осуществляет обработку персональных данных по поручению другого оператора, то Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
6. Права и обязанности субъектов персональных данных
6.1. Субъект персональных данных вправе:
6.1.1. Получать информацию по предварительному запросу, касающуюся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
6.1.2. Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.1.3. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.1.4. Выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг.
6.1.5. Отозвать согласие на обработку персональных данных.
6.2. Субъект персональных данных обязан:
6.2.1. Сообщать достоверную информацию, которая необходима для обработки персональных данных Оператором.
6.2.2. Предоставлять документы, содержащие персональные данные, в объеме, необходимом для цели обработки.
6.2.3. Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
7. Порядок обработки персональных данных
7.1. Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации.
7.2. Оператор осуществляет автоматизированную, смешанную и не автоматизированную обработку персональных данных.
7.3. Обработка персональных данных осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных от третьих лиц при условии соблюдения порядка получения согласия на обработку персональных данных, установленного законодательством Российской Федерации;
получения персональных данных из общедоступных источников;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных способов обработки персональных данных.
7.4. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает необходимые документы, регулирующие отношения в сфере обработки и защиты персональных данных;
принимает локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
назначает лиц, ответственных за обработку персональных данных;
обучает своих работников правилам обработки персональных данных;
знакомит работников, задействованных в обработке персональных данных, под роспись с настоящей Политикой и другими документами, регламентирующими обработку персональных данных;
создает необходимые условия для работы с персональными данными;
контролирует и организует учет и регистрацию документов, содержащих персональные данные;
контролирует процессы и организует работу информационной системы, осуществляющей обработку персональных данных;
осуществляет учет машинных носителей персональных данных;
принимает меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
обеспечивает сохранность персональных данных и принимает иные необходимые в соответствии с законодательством Российской Федерации организационные и технические меры при их обработке;
проводит оценку вреда, нанесенного вследствие нарушения законодательства Российской Федерации в области персональных данных в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
7.5. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входят действия по обработке персональных данных. Совершение указанных действий осуществляется только в объеме необходимом для выполнения своих должностных обязанностей.
Доступ к персональным данным также имеют генеральный директор, заместитель генерального директора, начальники подразделений и бухгалтерия в рамках, необходимых для осуществления ими конкретных функций.
7.6. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных
граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
7.7. В случае передачи Оператором персональных данных третьему лицу, осуществляющему обработку персональных данных по поручению Оператора или на основании договора, должны соблюдаться следующие условия:
договор должен заключаться в письменной форме, существенным условием которого является обязанность обеспечения третьим лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке;
третье лицо должно быть ознакомлено с настоящей Политикой и иными документами, определяющими принципы, правила и условия обработки персональных данных;
должен быть определен срок обработки персональных данных;
передача персональных данных другому лицу должна соответствовать целям обработки.
7.8. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
7.9. Хранение персональных данных осуществляется в течение срока, необходимого для достижения целей обработки и в форме, позволяющей с полной степенью достоверности определить субъекта персональных данных, за исключением обработки персональных данных способом обезличивания.
7.10. По достижении целей обработки персональных данных, истечении сроков хранения или отзыва согласия субъекта персональных данных на осуществление обработки персональные данные подлежат уничтожению, если иное не предусмотрено законодательством Российской Федерации или договором.
8. Порядок взаимодействия с субъектом персональных данных
8.1. Информация, указанная в п. 6.1.1 настоящей Политики, предоставляется субъекту персональных данных на основании запроса в письменном виде, содержащего:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения);
3) сведения, иным образом подтверждающие факт обработки персональных данных оператором;
4) подпись субъекта персональных данных или его представителя.
8.2. Субъект персональных данных, которому по запросу была предоставлена указанная выше информация имеет право обратиться с повторным запросом не ранее, чем через 30 (Тридцать) дней с момента первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться с повторным запросом (с обоснованием его направления) до истечения указанного выше срока в случае предоставления ему запрашиваемых данных об обработке персональных данных не в полном объеме.
8.3. Оператор вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего указанным выше условиям.
8.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.5. В срок, не превышающий 7 (Семь) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
8.6. В срок, не превышающий 7 (Семь) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
8.7. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.