Политика обработки и защиты персональных данных ООО «МАСКОМ-СДП»
Политика обработки и защиты персональных данных ООО «МАСКОМ-СДП»
1. Общие положения
- Настоящий документ (далее — Политика) определяет позицию ООО «МАСКОМ-СДП» (далее — Компания) в отношении обработки персональных данных и излагает систему основных принципов в отношении обработки персональных данных.
- Цель настоящей Политики — обеспечение защиты прав и свобод субъекта при обработке его персональных данных.
- Политика разработана в соответствии с законодательством Российской Федерации, в том числе Федеральным законом от 25.07.2006 № 152 «О персональных данных». В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 25.07.2006 № 152 «О персональных данных».
- Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.
- Политика распространяется на всех сотрудников Компании (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Компании, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компании, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
- В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.
- Политика действует бессрочно после утверждения и до ее замены новой версией.
2. Обработка персональных данных
- Компания осуществляет обработку персональных данных на основании:
- Федерального закона от 27.07.2006 № 152-ФЗ в пунктах 1, 2, 5 части 1 статьи 6;
- Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федерального закона от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в РФ»;
- Персональные данные обрабатываются Компанией в целях:
- Оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях организации и проведения Компанией (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;
- Исполнения Компанией обязательств в рамках договоров по поставке продуктов, проведению мероприятий и оказанию любых иных услуг субъектам персональных данных;
- Продвижения услуг и/или товаров Компании и/или партнеров Компании на рынке путем осуществления прямых контактов с клиентами Компании с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;
- Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, обеспечения пропускного и внутриобъектового режимов на территории Компании;
- Формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, её филиалов и представительств;
- Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании или третьих лиц либо достижения общественно значимых целей, или иных целей, если действия Компании не противоречат законодательству РФ.
- Компания в процессе обработки осуществляет действия в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.
- Обработка персональных данных в Компании осуществляется следующими способами: неавтоматизированная обработка персональных данных, автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, смешанная обработка персональных данных.
- При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
- Компания в целях надлежащего исполнения своих обязанностей оператора обрабатывает персональные данные следующих категорий субъектов:
- Соискатели на замещение вакантных должностей — в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных;
- Работники, состоящие или состоявшие в трудовых отношениях с Компанией — в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных;
- Родственники работников Компании — в составе и в сроки, необходимые для осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов Компании, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Представители поставщиков Компании — в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных;
- Представители потенциальных и существующих клиентов — в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных;
- Представители партнеров — в составе и в сроки, необходимые для осуществления взаимодействия с партнерами, с согласия субъектов персональных данных;
- Иные субъекты персональных данных, являющиеся стороной либо выгодоприобретателем, поручителем по договору заключённого с Компанией.
- Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; образование; профессия; доходы; паспортные данные; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.
- Компания осуществляет обработку биометрических данных сотрудников (фотографии).
- Персональные данные являются конфиденциальной информацией. Режим конфиденциальности персональных данных снимается в случаях обезличивания, общедоступности данных или иных случаях, определенных законодательством РФ.
- Сроки обработки персональных данных определены с учетом:
- Установленных целей обработки персональных данных;
- Сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
- Законодательства РФ в области архивного дела;
- Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством;
- Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий;
- Достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
- Утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
- Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
- Невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
- Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
- Отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
- Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
- Ликвидация (реорганизация) Компании.
- Компания не осуществляет трансграничную передачу персональных данных, все персональные данные субъектов хранятся на территории РФ.
- Компания передаёт персональные данные третьим лицам в рамках исполнения обязанностей, возложенных на Компанию законодательством РФ, либо с согласия субъекта персональных данных.
3. Меры по обеспечению безопасности персональных данных
- Компания предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
- Назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- Проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- Издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
- Обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
- Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
- Учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- Резервное копирование информации для возможности восстановления;
- Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
4. Права и обязанности субъектов персональных данных
- Субъект персональных данных обязан предоставлять Компании достоверные персональные данные и документы, содержащие информацию персонального характера, в случаях и порядке, установленных Трудовым кодексом РФ, ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных», иными федеральными законами и настоящей Политикой.
- При изменении персональных данных Субъект персональных данных должен письменно уведомить об этом Компанию в срок, не превышающий 14 дней. Компания имеет право запрашивать у Субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.
- Субъект персональных данных обязан ознакомиться с текущей Политикой, а также с законодательством РФ в области обработки персональных данных.
- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- Подтверждение факта обработки персональных данных Компанией;
- Правовые основания и цели обработки персональных данных;
- Цели и применяемые Компанией способы обработки персональных данных;
- Наименование и место нахождения Компании, сведения о лицах (за исключением сотрудников/работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального законодательства;
- Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- Сроки обработки персональных данных, в том числе сроки их хранения;
- Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- Информацию об осуществленной или предполагаемой трансграничной передаче данных;
- Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
- Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Субъект персональных данных имеет право отозвать свое согласие посредством составления соответствующего письменного документа (заявления), который может быть направлен в адрес Компании по почте заказным письмом с уведомлением о вручении либо передан лично под расписку представителю Компании.
5. Права и обязанности Компании
- Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
- В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
- Компания имеет право обрабатывать персональные данные без согласия субъекта в случаях, предусмотренных статьей 6 Федерального закона «О персональных данных» или иными актами законодательства РФ.
- Компания вправе отказать субъекту персональных данных в выполнении запроса на получение информации, касающейся обработки его персональных данных, в случаях, установленных Федеральным законом «О персональных данных» или иными актами законодательства РФ.
- Компания вправе собирать на своих сайтах следующую информацию: IP-адрес, тип браузера, тип устройства (ПК, мобильные), тип операционной системы, время и продолжительность визита, логическое разрешение экрана, информацию cookies и адреса запрашиваемых страниц.
- Опубликованная на Сайте Политика является действующей. Компания вправе в любое время вносить в нее изменения. В случае внесения изменений компания обязана уведомить пользователей путем размещения на Сайте новой редакции политики конфиденциальности.
6. Заключительные положения
- Настоящая Политика регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные настоящей Политикой, подлежат разрешению в соответствии с законодательством Российской Федерации. Все возможные споры, вытекающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, установленном действующим законодательством Российской Федерации по нормам российского права. Везде по тексту настоящей Политики, если явно не указано иное, под термином «законодательство» понимается законодательство Российской Федерации.
- В случае возникновения вопросов и претензий со стороны Пользователя он должен обратиться в адрес Компании любым доступным способом. Все возникающее споры стороны будут стараться решить путем переговоров. При недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством РФ.
- Бездействие со стороны Компании в случае нарушения Пользователем Политики не лишает Компанию права предпринять соответствующие действия в защиту своих интересов позднее, а также не означает отказ Компании от своих прав в случае совершения в последующем подобных либо сходных нарушений.
- Все споры, касающиеся Политики и ее положений, подлежат рассмотрению в суде по месту нахождения Компании в соответствии с действующим процессуальным правом Российской Федерации.
- Признание судом недействительности какого-либо положения настоящей Политики не влечет за собой недействительность остальных положений.
- Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Компании.