Политика конфиденциальности
Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью «Рось» (ООО «Рось»)
1. Общие положения
1.1. Настоящая политика обработки персональных данных (далее – Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в обществе с ограниченной ответственностью «Рось» (ООО «Рось») (далее – Оператор).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика Оператора применяется ко всей информации, которую Оператор может получить о следующих категориях субъектов персональных данных:
- о работниках Оператора;
- о контрагентах по гражданско-правовым договорам – физических лицах;
- о посетителях интернет-ресурсов Оператора (elrio.ru).
2. Основные понятия, используемые в Политике
3.1. Оператор может обрабатывать следующие персональные данные:
3.1.1. В отношении работников Оператора:- Фамилия, имя, отчество;
1.1. Настоящая политика обработки персональных данных (далее – Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в обществе с ограниченной ответственностью «Рось» (ООО «Рось») (далее – Оператор).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика Оператора применяется ко всей информации, которую Оператор может получить о следующих категориях субъектов персональных данных:
- о работниках Оператора;
- о контрагентах по гражданско-правовым договорам – физических лицах;
- о посетителях интернет-ресурсов Оператора (elrio.ru).
2. Основные понятия, используемые в Политике
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевым адресам: elrio.ru;
- Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
- Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Персональные данные (ПДн) – любая информация, относящаяся к определенной категории субъекта персональных данных;
- Пользователь – любой посетитель веб-сайта Оператора;
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Работник - физическое лицо, вступившее в трудовые отношения с Оператором;
- Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- Субъект персональных данных (субъект ПДн) - физическое лицо, к которому относятся соответствующие персональные данные;
- Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
3.1. Оператор может обрабатывать следующие персональные данные:
3.1.1. В отношении работников Оператора:- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Место регистрации (жительства);
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- Информация о трудовой деятельности до приема на работу;- Телефонный номер;
- Семейное положение и состав семьи;
- ИНН;
- СНИЛС
- ИНН;
- Сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- Должность работника;
- Структурное подразделение;
- Сведения о заработной плате;
- Статус военнообязанного
- Должность работника;
- Структурное подразделение;
- Сведения о заработной плате;
- Статус военнообязанного
3.1.2. В отношении контрагентов Оператора по гражданско-правовым договорам, являющихся физическими лицами:
- Фамилия, имя, отчество;
- Место регистрации (жительства);
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- ИНН;
- Телефонный номер;
- Адрес электронной почты;
- Реквизиты открытого банковского счета.
- Фамилия, имя, отчество;
- Место регистрации (жительства);
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- ИНН;
- Телефонный номер;
- Адрес электронной почты;
- Реквизиты открытого банковского счета.
3.1.3. В отношении пользователей веб-сайта Оператора:
- Фамилия, имя, отчество;
- Телефонный номер;
- Адрес электронной почты
- Телефонный номер;
- Адрес электронной почты
3.2. Вышеперечисленные данные по тексту Политики объединены общим понятием Персональные данные.
4. Цели обработки персональных данных
4.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Оператора.
4.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
4.3. Персональные данные субъектов персональных данных обрабатываются Оператором в целях:
4.3.1. В отношении работников Оператора – организация кадрового учета, ведение кадрового делопроизводства; исполнение обязательств по трудовым договорам; расчёт заработной платы; исполнение требований налогового законодательства по вопросам исчисления и уплаты налогов, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов; иных, предусмотренных законодательством РФ, отчислений с заработной платы; заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексами и федеральными законами; учёт рабочего времени сотрудников.
4.3.2. В отношении контрагентов Оператора по гражданско-правовым договорам, являющихся физическими лицами – заключение, исполнение и прекращение гражданско-правовых договоров.
4.3.3. В отношении пользователей веб-сайта Оператора – предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте; обработка обращений Пользователей (направление ответов на вопросы, предоставление запрашиваемой информации и т.п.); заключение гражданско-правовых договоров на размещение баннеров, рекламы, информации рекламного характера.
5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных осуществляется на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:
– Трудовой кодекс Российской Федерации (ст. 65, глава 14);
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
– Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5.2. Обработка персональных данных осуществляется также на основании:
– гражданско-правовых договоров, заключаемых между Оператором и субъектом ПДн;
– согласия на обработку персональных данных.
5.3. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Оператором.
5.4. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
5.5. В случаях, когда Оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у Оператора.
5.6. Персональные данные Пользователя веб-сайта Оператор обрабатывает только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на веб-сайте Оператора. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
5.7. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, предусмотренных федеральными законами.
5.8. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
5.9. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
5.10. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
6. Порядок, принципы обработки персональных данных
6.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
6.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
6.3. Персональные данные никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
6.4. Обработка персональных данных осуществляется на законной и справедливой основе.
6.5. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.6. Оператор обеспечивает раздельное хранение персональных данных, обрабатываемых без использования средств автоматизации с разными целями.
6.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.8. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.9. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.10. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.11. В случае выявления неточностей в персональных данных пользователя веб-сайта Оператора, пользователь может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора с пометкой «Актуализация персональных данных».
6.12. Обработка персональных данных осуществляется как автоматизированная, так и без использования средств автоматизации.
6.13. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ.
6.14. Хранение персональных данных субъектов осуществляется Оператором на бумажных и электронных носителях с ограниченным к ним доступом.
6.15. Персональные данные в бумажном виде хранятся в специально отведенных шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
6.16. Оператор, хранящий персональные данные на бумажных носителях, обеспечивает их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. № 687.
6.17. Оператор, хранящий персональные данные с использованием средств автоматизации, обеспечивает их защиту от несанкционированного доступа и копирования согласно постановлению Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказу ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6.18. Лицам, непосредственно осуществляющим обработку персональных данных запрещается:
- хранить машинные носители информации на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам без разрешения лица, ответственного за организацию работы по обработке персональных данных;
- делать несанкционированные копии с носителей персональных данных;
- выносить носители с персональными данными за пределы организации.
6.19. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
7. Права Субъектов персональных данных
7.1. Субъекты ПДн, ПДн которых обрабатываются Оператором, имеют право получить информацию относительно ПДн, обрабатываемых Оператором, в объеме, предусмотренном ФЗ РФ «О персональных данных», а также:
7.1.1. Получать полную информацию о своих ПДн;
7.1.2. Иметь свободный бесплатный доступ к своим ПДн, включая право на безвозмездное получение копий любой записи, содержащей ПДн Субъекта. Сведения о наличии ПДн должны быть предоставлены Субъекту ПДн в доступной форме, и они не должны содержать ПДн, относящиеся к другим Субъектам ПДн. Доступ к своим ПДн предоставляется Субъекту ПДн или его представителю Оператором при личном обращении, либо при получении запроса.
7.1.3. Получать сведения об Операторе, о месте его нахождения, о наличии у Оператора сведений о ПДн, относящихся к соответствующему Субъекту ПДн.
7.1.4. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.1.5. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.6. Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его ПДн.
8. Конфиденциальность персональных данных
8.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных законодательством РФ.
9. Срок обработки персональных данных
9.1. Срок обработки ПДн, обрабатываемых Оператором, определяется организационно-распорядительными документами Оператора в соответствии с положениями ФЗ РФ «О персональных данных».
9.2. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, нормативными актами органов государственной власти/актами, обладающими нормативными свойствами и определяющими перечни типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, а также иными сроками, установленными законодательством РФ и нормативными актами/актами, обладающие нормативными свойствами/организационно-распорядительными документами Оператора.
9.3. Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено законодательством РФ.
9.4. Срок обработки персональных данных пользователя веб-сайта Оператора является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора с пометкой «Отзыв согласия на обработку персональных данных».
10. Передача персональных данных
10.1. Оператор в ходе своей деятельности может предоставлять персональные данные субъектов ПДн третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
11. Обеспечение безопасности персональных данных
11.1. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
11.2. Персональные данные, полученные Оператором в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.
12. Сведения о реализуемых требованиях к защите персональных данных
12.1. Оператором реализуются следующие требования законодательства РФ в области персональных данных:
12.1.1. требования о соблюдении конфиденциальности персональных данных;
12.1.2. требования об обеспечении реализации Субъектом персональных данных своих прав;
12.1.3. требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению/уничтожению или уточнению неполных или неточных данных);
12.1.4. требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
12.1.5. иные требования законодательства РФ.
12.2. В соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных.
В частности, защита персональных данных достигается путем:
13.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
13.2. Уничтожение (обезличивание) ПДн Субъекта ПДн производится в следующих случаях:
13.4. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
13.5. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн.
13.6. Уничтожение ПДн осуществляется специально сформированной комиссией по Акту уничтожения ПДн.
14. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
14.1. С целью предотвращения нарушений законодательства Российской Федерации в сфере персональных данных проводятся следующие процедуры (мероприятия, работы):
- назначение лица, ответственного за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учёт машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
15. Ответственность за нарушение норм, регулирующих обработку персональных данных
15.1. Оператор и/или Работники Оператора, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством РФ ответственность.
16. Заключительные положения
16.1. Политика действует бессрочно до замены ее новой версией.
16.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
16.3. Пересмотр настоящей Политики с целью поддержания в актуальном состоянии проводится при возникновении следующих условий:
- изменение целей и/или состава обрабатываемых персональных данных;
- возникновение условий, существенно влияющих на процессы обработки персональных данных и нерегламентированных настоящим документом;
- по результатам контрольных мероприятий и проверок контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;
- при появлении новых требований к обеспечению безопасности персональных данных со стороны законодательства Российской Федерации и контролирующих органов.
16.4. Подлинник настоящей Политики во время срока ее действия хранится у ответственного за организацию работ по обработке персональных данных.
4. Цели обработки персональных данных
4.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Оператора.
4.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
4.3. Персональные данные субъектов персональных данных обрабатываются Оператором в целях:
4.3.1. В отношении работников Оператора – организация кадрового учета, ведение кадрового делопроизводства; исполнение обязательств по трудовым договорам; расчёт заработной платы; исполнение требований налогового законодательства по вопросам исчисления и уплаты налогов, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов; иных, предусмотренных законодательством РФ, отчислений с заработной платы; заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексами и федеральными законами; учёт рабочего времени сотрудников.
4.3.2. В отношении контрагентов Оператора по гражданско-правовым договорам, являющихся физическими лицами – заключение, исполнение и прекращение гражданско-правовых договоров.
4.3.3. В отношении пользователей веб-сайта Оператора – предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте; обработка обращений Пользователей (направление ответов на вопросы, предоставление запрашиваемой информации и т.п.); заключение гражданско-правовых договоров на размещение баннеров, рекламы, информации рекламного характера.
5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных осуществляется на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:
– Трудовой кодекс Российской Федерации (ст. 65, глава 14);
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
– Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5.2. Обработка персональных данных осуществляется также на основании:
– гражданско-правовых договоров, заключаемых между Оператором и субъектом ПДн;
– согласия на обработку персональных данных.
5.3. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку Оператором.
5.4. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
5.5. В случаях, когда Оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у Оператора.
5.6. Персональные данные Пользователя веб-сайта Оператор обрабатывает только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на веб-сайте Оператора. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
5.7. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни, за исключением случаев, предусмотренных федеральными законами.
5.8. Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
5.9. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
5.10. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
6. Порядок, принципы обработки персональных данных
6.1. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
6.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
6.3. Персональные данные никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
6.4. Обработка персональных данных осуществляется на законной и справедливой основе.
6.5. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.6. Оператор обеспечивает раздельное хранение персональных данных, обрабатываемых без использования средств автоматизации с разными целями.
6.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.8. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.9. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.10. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.11. В случае выявления неточностей в персональных данных пользователя веб-сайта Оператора, пользователь может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора с пометкой «Актуализация персональных данных».
6.12. Обработка персональных данных осуществляется как автоматизированная, так и без использования средств автоматизации.
6.13. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством РФ.
6.14. Хранение персональных данных субъектов осуществляется Оператором на бумажных и электронных носителях с ограниченным к ним доступом.
6.15. Персональные данные в бумажном виде хранятся в специально отведенных шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
6.16. Оператор, хранящий персональные данные на бумажных носителях, обеспечивает их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. № 687.
6.17. Оператор, хранящий персональные данные с использованием средств автоматизации, обеспечивает их защиту от несанкционированного доступа и копирования согласно постановлению Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказу ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6.18. Лицам, непосредственно осуществляющим обработку персональных данных запрещается:
- хранить машинные носители информации на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам без разрешения лица, ответственного за организацию работы по обработке персональных данных;
- делать несанкционированные копии с носителей персональных данных;
- выносить носители с персональными данными за пределы организации.
6.19. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
7. Права Субъектов персональных данных
7.1. Субъекты ПДн, ПДн которых обрабатываются Оператором, имеют право получить информацию относительно ПДн, обрабатываемых Оператором, в объеме, предусмотренном ФЗ РФ «О персональных данных», а также:
7.1.1. Получать полную информацию о своих ПДн;
7.1.2. Иметь свободный бесплатный доступ к своим ПДн, включая право на безвозмездное получение копий любой записи, содержащей ПДн Субъекта. Сведения о наличии ПДн должны быть предоставлены Субъекту ПДн в доступной форме, и они не должны содержать ПДн, относящиеся к другим Субъектам ПДн. Доступ к своим ПДн предоставляется Субъекту ПДн или его представителю Оператором при личном обращении, либо при получении запроса.
7.1.3. Получать сведения об Операторе, о месте его нахождения, о наличии у Оператора сведений о ПДн, относящихся к соответствующему Субъекту ПДн.
7.1.4. Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.1.5. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.6. Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его ПДн.
8. Конфиденциальность персональных данных
8.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных законодательством РФ.
9. Срок обработки персональных данных
9.1. Срок обработки ПДн, обрабатываемых Оператором, определяется организационно-распорядительными документами Оператора в соответствии с положениями ФЗ РФ «О персональных данных».
9.2. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, нормативными актами органов государственной власти/актами, обладающими нормативными свойствами и определяющими перечни типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, а также иными сроками, установленными законодательством РФ и нормативными актами/актами, обладающие нормативными свойствами/организационно-распорядительными документами Оператора.
9.3. Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено законодательством РФ.
9.4. Срок обработки персональных данных пользователя веб-сайта Оператора является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора с пометкой «Отзыв согласия на обработку персональных данных».
10. Передача персональных данных
10.1. Оператор в ходе своей деятельности может предоставлять персональные данные субъектов ПДн третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
11. Обеспечение безопасности персональных данных
11.1. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
11.2. Персональные данные, полученные Оператором в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.
12. Сведения о реализуемых требованиях к защите персональных данных
12.1. Оператором реализуются следующие требования законодательства РФ в области персональных данных:
12.1.1. требования о соблюдении конфиденциальности персональных данных;
12.1.2. требования об обеспечении реализации Субъектом персональных данных своих прав;
12.1.3. требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению/уничтожению или уточнению неполных или неточных данных);
12.1.4. требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
12.1.5. иные требования законодательства РФ.
12.2. В соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных.
В частности, защита персональных данных достигается путем:
- назначения ответственного за обработку и защиту персональных данных;
- издания настоящей Политики;
- издание локальных нормативных актов по вопросам обработки персональных данных;
- ознакомления работников, допущенных к обработке персональных данных Субъектов персональных данных, с требованиями, установленными законодательством РФ в области персональных данных, настоящей Политикой, а также локальными нормативными актами Общества;
- организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения персональных данных в информационных системах);
- организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения/обезличивания персональных данных, обрабатываемых без средств автоматизации);
- организации доступа работников к информации, содержащей персональные данные Субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;
- осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, Политике Оператора в отношении обработки персональных данных.
13.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
13.2. Уничтожение (обезличивание) ПДн Субъекта ПДн производится в следующих случаях:
- по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн либо, если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных законодательством РФ;
- в случае выявления неправомерной обработки ПДн Оператором в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки ПДн;
- в случае отзыва Субъектом ПДн согласия на Обработку его ПДн, если сохранение ПДн более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн либо, если Оператор не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных законодательством РФ;
- в случае истечения срока хранения ПДн, определяемого в соответствии с законодательством РФ и нормативными актами/актами, обладающими нормативными свойствами/организационно-распорядительными документами Оператора;
- в случае предписания уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решения суда.
13.4. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
13.5. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн.
13.6. Уничтожение ПДн осуществляется специально сформированной комиссией по Акту уничтожения ПДн.
14. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
14.1. С целью предотвращения нарушений законодательства Российской Федерации в сфере персональных данных проводятся следующие процедуры (мероприятия, работы):
- назначение лица, ответственного за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учёт машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
15. Ответственность за нарушение норм, регулирующих обработку персональных данных
15.1. Оператор и/или Работники Оператора, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством РФ ответственность.
16. Заключительные положения
16.1. Политика действует бессрочно до замены ее новой версией.
16.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
16.3. Пересмотр настоящей Политики с целью поддержания в актуальном состоянии проводится при возникновении следующих условий:
- изменение целей и/или состава обрабатываемых персональных данных;
- возникновение условий, существенно влияющих на процессы обработки персональных данных и нерегламентированных настоящим документом;
- по результатам контрольных мероприятий и проверок контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;
- при появлении новых требований к обеспечению безопасности персональных данных со стороны законодательства Российской Федерации и контролирующих органов.
16.4. Подлинник настоящей Политики во время срока ее действия хранится у ответственного за организацию работ по обработке персональных данных.