elosokina@yandex.ru
Этот сайт использует файлы cookie. Файлы cookie запоминают ваши действия и предпочтения для улучшения работы в интернете
Политика в отношении обработки и защиты персональных данных Общества с ограниченной ответственностью «МОЙ ПАРТНЁР»
1.1. Настоящая политика общества с ограниченной ответственностью «МОЙ ПАРТНЁР» (далее – Общество, Оператор) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ)
в целях обеспечения защиты прав и свобод человека и гражданина
при обработке его персональных данных, в том числе защиты прав
на неприкосновенность частной жизни, личную и семейную тайну,
и определяет цели и порядок обработки персональных данных и меры
по обеспечению безопасности персональных данных, предпринимаемые Оператором.
1.2. Политика действует в отношении всех персональных данных (далее по тексту – ПДн), обрабатываемых Оператором.
1.3. Политика распространяется на отношения в области обработки ПДн, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Настоящая Политика содержит информацию о правовых основаниях, целях, принципах и условиях обработки ПДн, о правах субъектов ПДн
и обязанностях Оператора в целом и лица, ответственного за организацию обработки ПДн в частности, а также об ответственности за нарушение требований Закона № 152-ФЗ.
1.5. Положения настоящей Политики распространяются на всех работников Оператора (штатных, временных, работающих по контракту и т.п.). Соблюдение требований настоящей Политики также предъявляются
в отношении иных лиц при необходимости их участия в процессе обработки ПДн, а также в случае передачи им в установленном порядке ПДн на основании договоров, контрактов или иных соглашений на обработку.
1.6. Настоящая политика подлежит пересмотру и, при необходимости, актуализации в случае изменений законодательства Российской Федерации
в области ПДн и/или локальных актов Оператора по вопросам обработки ПДн.
1.7. Во исполнение требований части 2 ст. 18.1 Закона № 152-ФЗ настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора.
2.1.1. Персональные данные (ПДн) – любая информация, относящаяся
к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);
2.1.2. Обработка ПДн – любые действия (операции) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, или без использования таких средств.
2.1.3. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
2.1.4. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
2.1.5. Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
2.1.6. Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
2.1.7. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
2.1.8. Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
2.1.9. Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
3.1. Оператор имеет право:
3.1.1. самостоятельно определять состав и перечень мер, необходимых
и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом № 152-ФЗ
или другими федеральными законами;
3.1.2. поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом № 152-ФЗ, настоящей Политикой и/или иными локальными актами Оператора по вопросам обработки ПДн;
3.1.3. в случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Законе № 152-ФЗ.
3.2. Оператор обязан:
3.2.1. организовывать обработку ПДн в соответствии с требованиями Закона № 152-ФЗ;
3.2.2. отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями Закона № 152-ФЗ;
3.2.3. предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона № 152-ФЗ;
3.2.4. в случае, если ПДн получены не от субъекта ПДн, Оператор,
за исключением случаев, предусмотренных частью 4 ст. 18 Закона № 152-ФЗ, до начала обработки таких ПДн предоставить субъекту ПДн следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные Законом № 152-ФЗ права субъекта ПДн;
5) источник получения ПДн;
3.2.5. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:
1) назначение ответственного за организацию обработки ПДн;
2) издание документов, определяющих политику Оператора
в отношении обработки ПДн, локальных актов по вопросам обработки ПДн,
а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере ПДн, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер
по обеспечению безопасности ПДн в соответствии со статьей 19
Закона 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора по вопросам обработки ПДн;
5) оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом № 152-ФЗ;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
3.2.6. сообщать в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.
4.1. Субъект ПДн имеет право:
4.1.1. требовать от оператора уточнения его ПДн, их блокирования
или уничтожения в случае, если Пдн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми
для заявленной цели их обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.1.2. на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Оператором;
2) правовые основания и цели обработки ПДн;
3) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом № 152-ФЗ;
4) сроки обработки ПДн, в том числе сроки их хранения;
5) порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;
6) иные сведения, предусмотренные Закона № 152-ФЗ или другими федеральными законами;
4.1.3. обжаловать в установленном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
4.2. Субъект ПДн обязан:
4.2.1. предоставлять полные, точные и достоверные сведения о своих ПДн и/или документы, содержащие такие ПДн.
5.1. Обработка ПДн Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
5.2. Оператор осуществляет обработку ПДн для осуществления своей деятельности для достижения следующих целей:
5.2.1. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
5.2.2. Обеспечение участия субъекта ПДн и/или Оператора
в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
5.2.3. Исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии
с законодательством Российской Федерации об исполнительном делопроизводстве;
5.2.4. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, индивидуальными предпринимателями и другими лицами в ситуациях, предусмотренных законодательством и уставом Общества;
5.2.5. Формирование справочных материалов для внутреннего информационного обеспечения деятельности Общества;
5.2.6. Исполнение обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе связанных
с представлением ПДн работников в налоговые органы, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования,
а также в иные государственные органы в соответствии с требованиями действующего законодательства;
5.2.7. Предоставление работникам Общества дополнительных гарантий и компенсаций, в том числе по добровольному медицинскому страхованию;
5.2.8. Рассмотрение резюме соискателей;
5.2.9. Формирование кадрового резерва;
5.2.10. Ведение кадрового делопроизводства, содействие работникам Общества;
5.2.11. Ведение бухгалтерского учета;
5.2.12. Осуществление пропускного режима;
5.2.13. Обеспечение работников Общества средствами электронной подписи;
5.2.14. Проведение мероприятий в сфере мобилизационной подготовки, гражданской обороны и предотвращения чрезвычайных ситуаций;
5.2.15. Взаимодействие в рамках заключения договора о целевом обучении с выпускниками средней школы, поступающими в высшее или среднее специальное учебное заведение (абитуриентами);
5.2.16. Взаимодействие с учащимися высших или средне специальных учебных заведениях (студентами) с целью заключения договора
о практической подготовке, актуализация данных о студентах целевого обучения;
5.2.17. Защита жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
5.2.18. Статистические или иные исследовательские цели,
за исключением целей, указанных в статье 15 Закона № 152-ФЗ, при условии обязательного обезличивания ПДн;
5.2.19. Опубликование или обязательное раскрытие ПДн
в соответствии с Законом № 152-ФЗ;
5.2.20. Рассмотрение обращений и запросов субъектов ПДн
и их законных представителей (граждан);
5.2.21. Иных целях, зафиксированных в согласии субъекта ПДн
на обработку его ПДн.
Правовыми основаниями обработки ПДн Оператором являются:
- устав Общества;
- договоры (контракты), заключаемые между Оператором (представителем Оператора) и субъектом ПДн;
- федеральные законы, иные нормативно-правовые акты в сфере защиты ПДн;
- согласия субъектов ПДн на обработку их ПДн;
- иные действующие нормативно-правовые акты и разрешительная документация, в том числе регулирующие отношения, связанные с деятельностью Оператора.
7.1. Объем обрабатываемых ПДн.
7.1.1. Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки. Не допускается избыточность ПДн по отношению к заявленным целям их обработки. В случае необходимости, Оператор уточняет заявленные цели.
7.1.2. Перечень ПДн, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки ПДн, указанных в разделе 4 настоящей Политики.
7.2. К категориям обрабатываемых ПДн относятся:
7.2.1. общедоступные ПДн - сведения, полученные только
из общедоступных источников ПДн (в том числе справочники, адресные книги, сервисы по подбору персонала (ознакомление с резюме до момента их сохранения/распечатки);
7.2.2. специальные категории ПДн - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн;
7.2.3. биометрические ПДн - сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются для установления личности (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые используются для установления его личности;
7.3. К категориям субъектов ПДн, обрабатываемых Оператором, относятся:
- ПДн работников Общества - сведения, составляющие ПДн работников Общества;
- ПДн третьих лиц - ПДн родственников (супругов, родителей, детей) работника Общества, бывших работников Общества, ПДн родственников (супругов, родителей, детей) бывших работников Общества, ПДн кандидатов на вакантную должности, наймодателей, граждан, контрагентов и т.п.;
7.4. Обработка биометрических ПДн Оператором допускается только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.5. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, интимной жизни Оператором
не осуществляется.
7.6. Обработка специальных категорий ПДн, касающихся состояния здоровья, осуществляется Оператором в случае получения от субъекта ПДн согласия в письменной форме на обработку таких ПДн.
8.1. Порядок обработки ПДн.
8.1.1. Обработка ПДн Оператором осуществляется в соответствии
с требованиями законодательства Российской Федерации и локальных нормативных актов Оператора работниками Оператора и/или иных организаций, осуществляющих такую обработку, на основании договоров на оказание соответствующих услуг Оператору.
8.1.2. Обработка ПДн осуществляется с согласия субъектов ПДн на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.1.3. К обработке ПДн допускаются работники Оператора, в должностные обязанности которых входит обработка ПДн.
8.1.4. Обработка ПДн Оператором включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
8.1.5. Обработка ПДн субъектов ПДн осуществляется, как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
- получения ПДн в устной и письменной форме непосредственно
от субъектов ПДн;
- получения ПДн из общедоступных источников;
- получения оригиналов необходимых документов, содержащих ПДн;
- копирования оригиналов документов, содержащих ПДн;
- внесения ПДн в учетные формы на бумажных и электронных носителях;
- формирования ПДн в ходе кадровой работы;
- внесения, накопления и хранения ПДн в информационных системах
и ресурсах Оператора;
- использования иных способов обработки ПДн.
8.1.6. Обращения граждан рассматриваются Оператором в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствии с ним локальными нормативными актами Оператора.
8.1.7. Оператор и иные лица, получившие доступ к ПДн, обязаны
не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
8.1.8. Согласие на обработку ПДн, разрешенных субъектом ПДн
для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
8.1.9. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.1.10. Оператор разрабатывает и утверждает документы, определяющие политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
8.1.11. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в том числе, но не ограничиваясь:
- определяет угрозы безопасности ПДн при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПДн;
- назначает лиц, ответственных за обеспечение безопасности ПДн
в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с ПДн;
- организует учет документов, содержащих ПДн;
- организует работу с информационными системами, в которых обрабатываются ПДн;
- хранит ПДн в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку ПДн.
8.1.12. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.
8.1.13. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем
по которому является субъект ПДн
8.1.14. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ
8.1.15. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации,
в частности путем фиксации их на отдельных материальных носителях ПДн
8.1.16. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том
же носителе ПДн, Оператором принимаются меры по обеспечению раздельной обработки ПДн, в частности:
- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
- при необходимости уничтожения или блокирования части ПДн, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
8.1.17. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
8.2. Условия обработки ПДн.
8.2.1. Обработка ПДн осуществляется на законной и справедливой основе.
8.2.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
8.2.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
8.2.4. Обработке подлежат только ПДн, которые отвечают целям
их обработки.
8.2.5. При обработке ПДн Оператором обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки ПДн.
9.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона № 152-ФЗ, субъекту ПДн или его представителю информацию
о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти дней с даты получения запроса субъекта ПДн или его представителя.
9.2. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы
9.3. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
9.4. Оператор прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по поручению Оператора:
- в случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом ПДн согласия на обработку его ПДн Оператором;
- в случае достижения цели обработки ПДн и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти дней с даты достижения цели обработки ПДн, а также если продолжение обработки таких ПДн не требуется в соответствии с законодательством. В случае отсутствия возможности уничтожения ПДн в течение указанного срока Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
в целях обеспечения защиты прав и свобод человека и гражданина
при обработке его персональных данных, в том числе защиты прав
на неприкосновенность частной жизни, личную и семейную тайну,
и определяет цели и порядок обработки персональных данных и меры
по обеспечению безопасности персональных данных, предпринимаемые Оператором.
1.2. Политика действует в отношении всех персональных данных (далее по тексту – ПДн), обрабатываемых Оператором.
1.3. Политика распространяется на отношения в области обработки ПДн, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Настоящая Политика содержит информацию о правовых основаниях, целях, принципах и условиях обработки ПДн, о правах субъектов ПДн
и обязанностях Оператора в целом и лица, ответственного за организацию обработки ПДн в частности, а также об ответственности за нарушение требований Закона № 152-ФЗ.
1.5. Положения настоящей Политики распространяются на всех работников Оператора (штатных, временных, работающих по контракту и т.п.). Соблюдение требований настоящей Политики также предъявляются
в отношении иных лиц при необходимости их участия в процессе обработки ПДн, а также в случае передачи им в установленном порядке ПДн на основании договоров, контрактов или иных соглашений на обработку.
1.6. Настоящая политика подлежит пересмотру и, при необходимости, актуализации в случае изменений законодательства Российской Федерации
в области ПДн и/или локальных актов Оператора по вопросам обработки ПДн.
1.7. Во исполнение требований части 2 ст. 18.1 Закона № 152-ФЗ настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора.
2. Термины и определения
2.1. В настоящей Политике используются следующие основные термины и определения:2.1.1. Персональные данные (ПДн) – любая информация, относящаяся
к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);
2.1.2. Обработка ПДн – любые действия (операции) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн, или без использования таких средств.
2.1.3. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
2.1.4. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
2.1.5. Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
2.1.6. Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
2.1.7. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
2.1.8. Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
2.1.9. Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
3. Основные права и обязанности Оператора.
3.1. Оператор имеет право:
3.1.1. самостоятельно определять состав и перечень мер, необходимых
и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом № 152-ФЗ
или другими федеральными законами;
3.1.2. поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом № 152-ФЗ, настоящей Политикой и/или иными локальными актами Оператора по вопросам обработки ПДн;
3.1.3. в случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Законе № 152-ФЗ.
3.2. Оператор обязан:
3.2.1. организовывать обработку ПДн в соответствии с требованиями Закона № 152-ФЗ;
3.2.2. отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями Закона № 152-ФЗ;
3.2.3. предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона № 152-ФЗ;
3.2.4. в случае, если ПДн получены не от субъекта ПДн, Оператор,
за исключением случаев, предусмотренных частью 4 ст. 18 Закона № 152-ФЗ, до начала обработки таких ПДн предоставить субъекту ПДн следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные Законом № 152-ФЗ права субъекта ПДн;
5) источник получения ПДн;
3.2.5. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:
1) назначение ответственного за организацию обработки ПДн;
2) издание документов, определяющих политику Оператора
в отношении обработки ПДн, локальных актов по вопросам обработки ПДн,
а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере ПДн, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер
по обеспечению безопасности ПДн в соответствии со статьей 19
Закона 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора по вопросам обработки ПДн;
5) оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом № 152-ФЗ;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
3.2.6. сообщать в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.
4. Основные права и обязанности субъекта ПДн.
4.1. Субъект ПДн имеет право:
4.1.1. требовать от оператора уточнения его ПДн, их блокирования
или уничтожения в случае, если Пдн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми
для заявленной цели их обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.1.2. на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Оператором;
2) правовые основания и цели обработки ПДн;
3) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом № 152-ФЗ;
4) сроки обработки ПДн, в том числе сроки их хранения;
5) порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;
6) иные сведения, предусмотренные Закона № 152-ФЗ или другими федеральными законами;
4.1.3. обжаловать в установленном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
4.2. Субъект ПДн обязан:
4.2.1. предоставлять полные, точные и достоверные сведения о своих ПДн и/или документы, содержащие такие ПДн.
5. Цели обработки ПДн
5.1. Обработка ПДн Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
5.2. Оператор осуществляет обработку ПДн для осуществления своей деятельности для достижения следующих целей:
5.2.1. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
5.2.2. Обеспечение участия субъекта ПДн и/или Оператора
в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
5.2.3. Исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии
с законодательством Российской Федерации об исполнительном делопроизводстве;
5.2.4. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, индивидуальными предпринимателями и другими лицами в ситуациях, предусмотренных законодательством и уставом Общества;
5.2.5. Формирование справочных материалов для внутреннего информационного обеспечения деятельности Общества;
5.2.6. Исполнение обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе связанных
с представлением ПДн работников в налоговые органы, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования,
а также в иные государственные органы в соответствии с требованиями действующего законодательства;
5.2.7. Предоставление работникам Общества дополнительных гарантий и компенсаций, в том числе по добровольному медицинскому страхованию;
5.2.8. Рассмотрение резюме соискателей;
5.2.9. Формирование кадрового резерва;
5.2.10. Ведение кадрового делопроизводства, содействие работникам Общества;
5.2.11. Ведение бухгалтерского учета;
5.2.12. Осуществление пропускного режима;
5.2.13. Обеспечение работников Общества средствами электронной подписи;
5.2.14. Проведение мероприятий в сфере мобилизационной подготовки, гражданской обороны и предотвращения чрезвычайных ситуаций;
5.2.15. Взаимодействие в рамках заключения договора о целевом обучении с выпускниками средней школы, поступающими в высшее или среднее специальное учебное заведение (абитуриентами);
5.2.16. Взаимодействие с учащимися высших или средне специальных учебных заведениях (студентами) с целью заключения договора
о практической подготовке, актуализация данных о студентах целевого обучения;
5.2.17. Защита жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
5.2.18. Статистические или иные исследовательские цели,
за исключением целей, указанных в статье 15 Закона № 152-ФЗ, при условии обязательного обезличивания ПДн;
5.2.19. Опубликование или обязательное раскрытие ПДн
в соответствии с Законом № 152-ФЗ;
5.2.20. Рассмотрение обращений и запросов субъектов ПДн
и их законных представителей (граждан);
5.2.21. Иных целях, зафиксированных в согласии субъекта ПДн
на обработку его ПДн.
6. Правовые основания обработки ПДн
Правовыми основаниями обработки ПДн Оператором являются:
- устав Общества;
- договоры (контракты), заключаемые между Оператором (представителем Оператора) и субъектом ПДн;
- федеральные законы, иные нормативно-правовые акты в сфере защиты ПДн;
- согласия субъектов ПДн на обработку их ПДн;
- иные действующие нормативно-правовые акты и разрешительная документация, в том числе регулирующие отношения, связанные с деятельностью Оператора.
7. Объем и категории обрабатываемых ПДн, категории субъектов ПДн
7.1. Объем обрабатываемых ПДн.
7.1.1. Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки. Не допускается избыточность ПДн по отношению к заявленным целям их обработки. В случае необходимости, Оператор уточняет заявленные цели.
7.1.2. Перечень ПДн, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки ПДн, указанных в разделе 4 настоящей Политики.
7.2. К категориям обрабатываемых ПДн относятся:
7.2.1. общедоступные ПДн - сведения, полученные только
из общедоступных источников ПДн (в том числе справочники, адресные книги, сервисы по подбору персонала (ознакомление с резюме до момента их сохранения/распечатки);
7.2.2. специальные категории ПДн - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн;
7.2.3. биометрические ПДн - сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются для установления личности (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые используются для установления его личности;
7.3. К категориям субъектов ПДн, обрабатываемых Оператором, относятся:
- ПДн работников Общества - сведения, составляющие ПДн работников Общества;
- ПДн третьих лиц - ПДн родственников (супругов, родителей, детей) работника Общества, бывших работников Общества, ПДн родственников (супругов, родителей, детей) бывших работников Общества, ПДн кандидатов на вакантную должности, наймодателей, граждан, контрагентов и т.п.;
7.4. Обработка биометрических ПДн Оператором допускается только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.5. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, интимной жизни Оператором
не осуществляется.
7.6. Обработка специальных категорий ПДн, касающихся состояния здоровья, осуществляется Оператором в случае получения от субъекта ПДн согласия в письменной форме на обработку таких ПДн.
8. Порядок и условия обработки ПДн
8.1. Порядок обработки ПДн.
8.1.1. Обработка ПДн Оператором осуществляется в соответствии
с требованиями законодательства Российской Федерации и локальных нормативных актов Оператора работниками Оператора и/или иных организаций, осуществляющих такую обработку, на основании договоров на оказание соответствующих услуг Оператору.
8.1.2. Обработка ПДн осуществляется с согласия субъектов ПДн на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
8.1.3. К обработке ПДн допускаются работники Оператора, в должностные обязанности которых входит обработка ПДн.
8.1.4. Обработка ПДн Оператором включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
8.1.5. Обработка ПДн субъектов ПДн осуществляется, как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:
- получения ПДн в устной и письменной форме непосредственно
от субъектов ПДн;
- получения ПДн из общедоступных источников;
- получения оригиналов необходимых документов, содержащих ПДн;
- копирования оригиналов документов, содержащих ПДн;
- внесения ПДн в учетные формы на бумажных и электронных носителях;
- формирования ПДн в ходе кадровой работы;
- внесения, накопления и хранения ПДн в информационных системах
и ресурсах Оператора;
- использования иных способов обработки ПДн.
8.1.6. Обращения граждан рассматриваются Оператором в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации и принятыми в соответствии с ним локальными нормативными актами Оператора.
8.1.7. Оператор и иные лица, получившие доступ к ПДн, обязаны
не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
8.1.8. Согласие на обработку ПДн, разрешенных субъектом ПДн
для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
8.1.9. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.1.10. Оператор разрабатывает и утверждает документы, определяющие политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
8.1.11. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в том числе, но не ограничиваясь:
- определяет угрозы безопасности ПДн при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПДн;
- назначает лиц, ответственных за обеспечение безопасности ПДн
в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с ПДн;
- организует учет документов, содержащих ПДн;
- организует работу с информационными системами, в которых обрабатываются ПДн;
- хранит ПДн в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку ПДн.
8.1.12. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.
8.1.13. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем
по которому является субъект ПДн
8.1.14. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ
8.1.15. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации,
в частности путем фиксации их на отдельных материальных носителях ПДн
8.1.16. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том
же носителе ПДн, Оператором принимаются меры по обеспечению раздельной обработки ПДн, в частности:
- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
- при необходимости уничтожения или блокирования части ПДн, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
8.1.17. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
8.2. Условия обработки ПДн.
8.2.1. Обработка ПДн осуществляется на законной и справедливой основе.
8.2.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
8.2.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
8.2.4. Обработке подлежат только ПДн, которые отвечают целям
их обработки.
8.2.5. При обработке ПДн Оператором обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки ПДн.
9. Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов на доступ к ПДн
9.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона № 152-ФЗ, субъекту ПДн или его представителю информацию
о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти дней с даты получения запроса субъекта ПДн или его представителя.
9.2. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы
9.3. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
9.4. Оператор прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по поручению Оператора:
- в случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом ПДн согласия на обработку его ПДн Оператором;
- в случае достижения цели обработки ПДн и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти дней с даты достижения цели обработки ПДн, а также если продолжение обработки таких ПДн не требуется в соответствии с законодательством. В случае отсутствия возможности уничтожения ПДн в течение указанного срока Оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.