1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в ООО «ХАТБЕР-М» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и направлена на регулирование отношений, связанных с обработкой персональных данных в ООО «ХАТБЕР-М».
1.2. Общество осуществляет обработку и защиту персональных данных:
- субъектов – представителей юридических лиц, заключивших с Обществом договор;
- субъектов, имеющих или имевших с Обществом договорные отношения;
- субъектов, не имеющих или не имевших с Обществом договорные отношения;
Настоящая Политика составлена в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ) и действует в отношении всех персональных данных, которые могут быть получены и обрабатываться Обществом:
- от другого юридического лица (контрагента), состоящего в договорных отношениях с Обществом;
- от субъекта персональных данных, состоящего с Обществом в договорных отношениях (работники, клиенты-физические лица, представители клиентов);
- от субъекта персональных данных, не состоящего с Обществом в договорных отношениях.
1.3. Целью настоящей Политики является защита интересов Общества, клиентов, партнеров и работников, а также соблюдение требований Федерального закона № 152-ФЗ.
1.4. Политика распространяется на персональные данные, полученные как до, так и после ее утверждения настоящей Политики.
1.5. Настоящая Политика распростроняется на всех работников Общества, физических и юридических лиц, состоящих в договорных отношениях с Обществом, а также пользователей официального сайта Общества в информоционно-телекоммуникационной сети «Интернет», который находится по адресу: https://hatber.ru
1.6. Политика вступает в силу с момента утверждения генеральным директором ООО «ХАТБЕР-М» (далее — Общество, Оператор).
1.7. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Общества, а также в случаях изменения законодательсва Российской Федерации в области персональных данных.
1.8. Настоящая Политика, а также все изменения и дополнения к ней является общедоступным документом и подлежит размещению на официальном сайте Общества в сети Интернет по сетевому адресу: https://hatber.ru
2. ОСНОВНЫЕ ТЕРМИНЫ
2.1. Для целей Политики используются следующие термины:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- оператор – ООО «ХАТБЕР-М» 117623 г. Москва, ул. 2-я Мелитопольская, владение 4А, строение 40, 4 этаж, помещение 26, ИНН 7709268931, ОГРН 1027739339825;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распростанение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение пресональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- субъект персональных данных — физическое лицо, к которому относятся соответсвующие персональные данные;
- сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет, расположенных по сетевому адресу: https://hatber.ru
- пользователь — любое физическое лицо, субъект персональных данных, которое посещает Сайт и/или сервисы ООО «ХАТБЕР-М» в сети Интернет, пользуется размещенной на них информацией, а также программными продуктами (в т.ч. мобильными приложениями) ООО «ХАТБЕР-М».
3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Политика применяется к обработке персональных данных следующих категорий субъектов персональных данных:
- работники;
- родственники работников;
- уволенные (бывшие) работники;
- соискатели (кандидаты на замещение вакантных должностей в Обществе);
- контрагенты Общества (физические лица);
- клиенты Общества (физические лица);
- представители контрагентов Общества (физических и юридических лиц);
- посетители сайта;
- пользователи сервисов и программных продуктов Общества;
- студенты, проходящие ознакомительную, производсвенную или преддипломную практику у Общества на основании договора с учебным заведением.
3.2. Политика не распространяется на информацию, обробатываемую сайтами третьих лиц, на которые пользователь может прейти по ссылкам, доступным на сайтах и прочих сервисах и программных продуктах Общества
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется Обществом в следующих целях:
- ведение кадрового и бухгалтерского учета;;
- обеспечение соблюдения законодательства об обороне;
- обеспечение соблюдения законодательства об обороне;
- обеспечение соблюдения законодательства об обороне;
- обеспечение соблюдения пенсионного законодательства РФ;
- участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- подготовка, заключение и исполнение гражданско-правовых договоров;
- продвижение товаров, работ, услуг на рынке;
- обеспечение пропускного режима на территорию Общества;
- подбор персонала (соискателей) на вакантные должности Общества;
- обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договоров с учебными заведениями;
- предоставления доступа к сайту;
- предоставление доступа к сервисам и программным продуктам Общества.
4.2. Объем и категории обрабатываемых Обществом персональных данных определен в разделе 7 настоящей Политики. Порядок, способы и условия обработки персональных данных определены в разделе 8 настоящей Политики.
5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется Обществом в соответствии со следующими принципами:
- осуществление обработки персональных данных на законной и справедливой основе;
- обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
- обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
- недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных.
5.2. При этом при обработке персональных данных, сообщенных Обществу посредством использования сайта, приложений, мессенджеров и социальных сетей, прочих сервисов и программных продуктов Общества, из иных источников, исключающих или не требующих проверки достоверности сообщенных персональных данных, Общество исходит из того, что субъектом персональных данных предоставляются достоверная и достаточная информация, а также осуществляется ее поддержание в актуальном состоянии.
5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Если срок хранения персональных данных не установлен федеральным законом, договором, согласием субъекта персональных данных, то обрабатывасмые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.4. Общество, получившее доступ к персональным данным, обеспечивает их конфиденциальность, а также обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 08.02.1998г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
- устав Общества;
- локальные акты Общества в области защиты и обработки персональных данных;
- договоры, заключаемые между Обществом и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В соответствии с целями обработки персональных данных, указанными в разделе 4 настоящей Политики, и категориями субъектов персональных данных, указанными в разделе 3 настоящей Политики, Обществом осуществляется обработка следующих категорий персональных данных: 7.1.1. Работники Общества:
- фамилия, имя, отчество;
- пол;
- сведения об изменении фамилии, имени, отчества (причина изменения, дата);
- дата рождения (число, месяц, год);
- место рождения (в соответствии с паспортными данными);
- гражданство;
- семейное положение;
- данные документа о регистрации/расторжении брака;
- наличие детей, родственные связи;
- данные документа, содержащиеся в свидетельстве о рождении;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- адрес регистрации;
- адрес места жительства;
- номер телефона;
- адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счёта;
- платежные (банковские) реквизиты для перечисления заработной платы: реквизиты банковской карты, номер расчетного счета, номер лицевого счета;
- профессия;
- должность;
- сведения об образовании;
- сведения об ученой степени, квалификации, профессиональной переподготовке и повышении квалификации;
- сведения о владении иностранными языками (наименование, степень владения) и уровень владения компьютером;
- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
- сведения о предыдущих местах работы (должность, должностные обязанности, дата поступления и дата увольнения с работы, размер оплаты труда, наличие поощрений, награждений и (или) дисциплинарных взысканий, причина увольнения);
- отношение к воинской обязанности, сведения о воинском учете;
- сведения о государственной (муниципальной) службе за последние два года;
- социальное положение;
- социальный статус (сведения об инвалидности, сведения о социальных льготах, сведения об удержании алиментов и т.д.);
- доходы;
- данные водительского удостоверения;
- сведения о владении автомобилем;
- специальные категории персональных данных: сведения о состоянии здоровья, а именно: сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей, сведения о судимости;
- биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видео устройств, позволяющие установить личность субъекта персональных данных;
- прочие сведения, которые могуг идентифицировать работника.
7.1.2. Родственники работников Общества:
- фамилия, имя, отчество;
- пол;
- степень родства с работником;
- дата рождения (число, месяц, год);
- данные о несовершеннолетних детях (данные документа, содержащиеся в свидетельстве о рождении; справка с места учебы для налогового вычета).
7.1.3. Уволенные (бывшие) работники Общества:
- основание прекращения трудового договора (увольнения): заявление бывшего работника, данные, содержащиеся в приказе об увольнении;
- дата увольнения;
- сведения, указанные в п. 7.1.1. настоящей Политики.
7.1.4. Соискатели (кандидаты на замещение вакантных должностей Общества):
- фамилия, имя, отчество;
- пол;
- сведения об изменении фамилии, имени, отчества (причина изменения, дата);
- дата рождения (число, месяц, год);
- место рождения (в соответствии с паспортными данными);
- гражданство;
- семейное положение;
- наличие детей, родственные связи;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- адрес регистрации;
- адрес места жительства;
- номер телефона;
- адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счёта;
- профессия;
- должность;
- сведения об образовании;
- сведения об ученой степени, квалификации, профессиональной переподготовке и повышении квалификации;
- сведения о владении иностранными языками (наименование, степень владения) и уровень владения компьютером;
- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
- сведения о предыдущих местах работы (должность, должностные обязанности, дата поступления и дата увольнения с работы, размер оплаты труда, наличие поощрений, награждений и (или) дисциплинарных взысканий, причина увольнения);
- отношение к воинской обязанности, сведения о воинском учете;
- сведения о государственной (муниципальной) службе за последние два года;
- социальное положение;
- социальный статус (сведения об инвалидности, сведения о социальных льготах, сведения об удержании алиментов и т.д.);
- данные водительского удостоверения;
- сведения о владении автомобилем;
- специальные категории персональных данных: сведения о состоянии здоровья, а именно: сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о судимости;
- биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видео устройств, позволяющие установить личность субъекта персональных данных;
- иные персональные данные, сообщаемые в анкетах-резюме.
7.1.5. Контрагенты Общества (физические лица):
- фамилия, имя, отчество;
- пол;
- дата рождения (число, месяц, год);
- место рождения (в соответствии с паспортными данными);
- гражданство;
- данные документа, удостоверяющего личность;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- адрес регистрации;
- адрес места жительства;
- номер телефона;
- адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счёта;
- платежные (банковские) реквизиты для перечисления платежных средств: реквизиты банковской карты, номер расчетного счета;
- профессия;
- должность;
- сведения об образовании;
- сведения о государственной (муниципальной) службе за последние два года;
- данные водительского удостоверения;
- сведения о владении автомобилем;
- специальные категории персональных данных: сведения о состоянии здоровья, а именно: сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; сведения о судимости;
- биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видео устройств, позволяющие установить личность субъекта персональных данных;
- основной государственный регистрационный номер (для индивидуальных предпринимателей);
- сведения о постановке физического лица на учет в качестве плателыцика налога на профессиональный доход;
- иные персональные данные, сообщаемые в анкетах-резюме.
7.1.6. Клиенты Общества (физические лица):
- фамилия, имя, отчество;
- пол;
- дата рождения (число, месяц, год);
- место рождения (в соответствии с паспортными данными);
- гражданство;
- данные документа, удостоверяющего личность;
- адрес регистрации;
- адрес места жительства;
- номер телефона;
- адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счёта;
- платежные (банковские) реквизиты для перечисления платежных средств: реквизиты банковской карты, номер расчетного счета;
- должность;
- сведения, собираемые посредством метрических программ;
- иные персональные данные, сообщаемые в анкетах-резюме.
7.1.7. Представители контрагентов Общества (физических и юридических лиц):
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- пол;
- гражданство;
- адрес регистрации;
- данные документа, удостоверяющего личность;
- номер телефона;
- адрес электронной почты;
- должность;
- иные персональные данные, сообщаемые в анкетах-резюме.
7.1.8. Посетители сайта Общества:
- фамилия, имя, отчество;
- адрес электронной почты;
- номер телефона;
- данные, которые автоматически передаются в процессе просмотра и при посещении страниц сайта (сооckie-файлы), а именно: дата и время доступа, адрес посещаемой страницы, источник входа, реферер (адрес предыдущей страницы), информация о поведении (включая количество и наименование просмотренных страниц);
- данные об оборудовании Посетителя сайта (данные о технических средствах (в том числе, мобильных устройствах) и способах технологического взаимодействия с Сайтом и его сервисами (в т.ч. вид операционной системы Посетителя сайта, тип браузера, географическое положение, данные о провайдере и иное), об активности Посетителя при использовании сайта, об информации об ошибках, выдаваемых Посетителю, о скачанных файлах, инструментах, а также иные данные, получаемые установленными настоящим согласием способами;
- IР адрес и статистика о IР-адресах;
- иные сведения, собираемые посредством метрических программ.
7.1.9. Пользователи сервисов и программных продуктов Общества:
- фамилия, имя, отчество;
- адрес электронной почты;
- номер телефона;
- должность;
- данные, которые автоматически передаются в процессе использования сервиса (сооКе-файлы), а именно: дата и время доступа, адрес посещаемой страницы, источник входа, реферер (адрес предыдущей страницы), информация о поведении (включая количество и наименование просмотренных страниц), прочие технические данные (данные о технических средствах и способах технологического взаимодействия с сервисами (в т.ч. вид операционной системы Пользователя, тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя при использовании сервиса, об информации об ошибках, выдаваемых Пользователю, о скачанных файлах, инструментах, а также иные данные, получаемые установленными настоящей Политикой способами;
- IР адрес и статистика о IР-адресах;
- иные сведения, собираемые посредством метрических программ.
7.1.10. Студенты, проходящие ознакомительную, производственную или преддипломную практику у Общества на основании договора с учебным заведением:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год);
- адрес места жительства;
- адрес регистрации;
- данные документа, удостоверяющего личность;
- номер телефона;
- адрес электронной почты;
- сведения об учебном заведении и программе обучения (наименование учебного заведения, в котором студент проходит обучение, наименование образовательной программы, форма обучения, номер курса ит.д.).
7.2. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
7.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
8. ПОРЯДОК, СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
8.2. Общество осуществляет обработку персональных данных как автоматизированным, так и неавтоматизированным способом путем осуществления следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) после внесения изменений субъектом персональных данных, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных действующим законодательством Российской Федерации. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
8.4. К обработке персональных данных допускаются работники Общества, в должностные обязанности которых входит обработка соответствующих категорий персональных данных. Перечень указанных работников утверждается приказом Общества, при этом указанные в приказе лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
8.5. Лица, осуществляющие обработку персональных данных со стороны Общества ознакомлены с положениями законодательства Российской Федерации о персональных данных, локальными актами Общества по вопросам обработки персональных данных.
8.6. Неавтоматизированная обработка персональных данных осуществляется таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков) и иным способом.
8.7. Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в сеть, а также с помощью информационных систем. Доступ к такой сети предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей. При обработке персональных данных с использованием информационных систем Общество обеспечивает их защиту в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными действующим законодательством РФ.
8.8. Персональные данные, содержащиеся на машинных носителях персональных данных, хранятся на автоматизированных рабочих местах и серверах информационных систем персональных данных Общества, установленных в пределах помещений, утвержденных локальными актами Общества об обеспечении безопасности помещений, в которых размещены информационные системы персональных данных и материальные носители персональных данных.
8.9. Персональные данные, содержащиеся на материальных носителях персональных данных, хранятся в пределах помещений, утвержденных локальными актами Общества об обеспечении безопасности помещений, в которых размещены информационные системы персональных данных и материальных носителей персональных данных.
8.10. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети Интернет, Общество обеспечивает — запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на, территории Российской Федерации, за исключением случаев, указанных в действующем законодательстве.
8.11. Обществом не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, за исключением случаев, когда такое раскрытие и распространение без согласия субъекта персональных данных требуется/допускается действующим законодательством.
8.12. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования, Единый государственный внебюджетный Социальный фонд России (СФР) и другие уполномоченные органы исполнительной власти и организации осуществляется Обществом в соответствии с требованиями законодательства.
8.13. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат актуализации, а обработка должна быть прекращена.
8.14. Общество может привлекать третьих лиц к обработке персональных данных путем поручения третьим лицам обработки персональных данных и (или) путем передачи персональных данных третьим лицам без поручения обработки персональных данных. Привлечение третьих лиц к обработке персональных данных может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренных настоящей Политикой целей обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Обществом и (или) в соответствии с положениями применимого законодательства о персональных данных). К вышеуказанным третьим лицам могут относиться:
- лица, обладающие правом в предусмотренных применимым законодательством случаях на получение персональных данных в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
- контрагенты Общества, приобретение и использование товаров, работ, услуг которых является необходимым для достижения предусмотренных настоящей Политикой целей обработки персональных данных.
8.15. Трансграничная передача персональных данных осуществляется с учетом ограничений и запретов, предусмотренных законодательством Российской Федерации в области персональных данных. До начала осуществления трансграничной передачи персональных данных Общество:
- проводит оценку мер, принимаемых органами власти иностранного государства, иностранными физическими и юридическими лицами, которым планируется трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности персональных данных;
- уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о своем намерении осуществлять трансграничную передачу персональных данных. Цели, категории и перечень персональных данных, категории субъектов, перечень иностранных государств, в которые осуществляется трансграничная передача, указываются в уведомлении Общества о намерении осуществлять трансграничную передачу персональных данных. 'Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международноправовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения. В случае принятия уполномоченным органом решения о запрещении или об ограничении трансграничной передачи Общество обязано обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.
8.15. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Общество обязано обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, установлены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласие на обработку персональных данных. разрешенных субъектом персональных данных для распространения должно содержать следующую информацию:
- фамилия, имя, отчество (при наличии) субъекта персональных данных;
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
- сведения об Обществе — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплателыцика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы). посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
- цель (цели) обработки персональных данных;
Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
- персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
- Условия, при которых полученные персональные данные могут передаваться Обществом, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
- срок действия согласия.
В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. В случае, если из предоставленного Обществу субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Обществом без права распространения. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются Обществом без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Обществу:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с Обществом, определяются уполномоченным органом по защите прав субъектов персональных данных. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения Обществом. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Общества в установлении субъектом персональных данных запретов и условий, предусмотренных ст. 10 Федерального закона № 152-ФЗ, не допускается. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Субъект персональных данных вправе обратиться к Обществу с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения Обществу или обратиться с таким требованием в суд. Общество обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (Трех) рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 (Трех) рабочих дней с момента вступления решения суда в законную силу. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Обществу требования о прекращении распространения персональных данных.
9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
9.1. Сроки обработки и хранения персональных данных определяются целями обработки и составляют:
- для целей ведения ведение кадрового, бухгалтерского учета, обеспечения соблюдения трудового, налогового, пенсионного законодательства РФ, законодательства об обороне — в течение срока, установленного действующим законодательством;
- для целей участия в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах — в течение срока судебного судопроизводства, но не более 3 (Трех) лет;
- для целей подготовки, заключения, исполнения гражданско-правовых договоров - в течение срока действия договора и 5 (Пяти) лет по окончании срока его действия;
- для целей проведения мероприятий по урегулированию претензий в рамках гражданско- правовых отношений — в течение срока, необходимого для урегулирования соответствующих претензий, но не более 3 (Трех) лет;
- для целей продвижения товаров, работ, услуг на рынке - в течение срока, указанного в согласии на обработку персональных данных;
- для целей обеспечение пропускного режима на территорию Общества — в течение 1 (Одного) года с даты посещения офисных и иных помещений Общества;
- для целей подбор персонала (соискателей) на вакантные должности Общества — в течение срока, указанного в согласии на обработку персональных данных;
- для целей обеспечения прохождения ознакомительной, производственной или преддипломной практики на основании договоров с учебными заведениями — в течение срока, указанного в согласии на обработку персональных данных;
- для целей предоставления доступа к сайту — в течение срока, указанного в согласии на обработку персональных данных.
- для целей предоставления доступа к сервисам и программным продуктам Общества — в течение срока, указанного в согласии на обработку персональных данных.
9.2. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта, персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных. Такие персональные данные подлежат уничтожению Обществом, если:
- иное не предусмотрено договором, стороной которого является субъект персональных данных;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
9.3. Уничтожение персональных данных осуществляется лицом, ответственным за обработку персональных данных или работниками Общества, к должностным обязанностям которых отнесено уничтожение персональных данных.
9.4. Бумажные носители персональных данных подлежат уничтожению путем разрезания, сжигания, использования иных способов механического уничтожения. Персональные данные, хранящиеся на электронных носителях, подлежат уничтожению путем стирания с электронных носителей.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право на получение информации (далее - запрашиваемая субъектом информация), касающейся обработки его персональных данных, за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона «О персональных данных», путем личного обращения или направления обращения, или запроса в свободной письменной форме заказным письмом с уведомлением о вручении в адрес Оператора или на следующий адрес электронной почты: шЮ@вВафегга. Оператор предоставляет субъекту персональных данных или его представителю информацию или запрошенные сведения в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
10.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации, и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее — нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральтым законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.
10.4. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
10.5. Субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.6. Субъект персональных данных имест право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.7. Субъект персональных данных вправе пользоваться иными правами, предусмотренными действующим законодательством.
11. ОБЯЗАННОСТИ ОПЕРАТОРА
11.1. Общество сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя, а также дает ответ на запрос субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты обращения или получения запроса от субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
11.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество в течение семи рабочих дней вносит в них необходимые изменения. При представлении субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество в течение 7 (семи) рабочих дней уничтожает такие персональные данные. Общество уведомляет субъекта персональных данных о внесенных изменениях и предпринятых мерах.
11.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя.
11.5. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим липом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
11.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если дальнейшая обработка персональных данных не должна осуществляться в соответствии с требованиями действующего законодательства (независимо от наличия согласия субъекта персональных данных), уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных.
11.7. При изменении субъектом персональных данных своих данных, Общество хранит измененную или удаленную информацию в срок, установленный законодательством Российской Федерации, и передает такую информацию третьим лицам в соответствии с законодательством Российской Федерации.
11.6. Общество принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. К таким мерам относятся:
- назначение ответственного за организацию обработки персональных данных;
- издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
12. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных; - применением средств защиты информации;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, ограничение доступа посторонних лиц в помещения, предназначенные для обработки персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
13. СФЕРЫ ОТВЕТСТВЕННОСТИ
13.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.
13.2. Моральный вред, причиненный Оператором субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
13.3. Субъект персональных данных, передавший Оператору недостоверные сведения о себе, несет ответственность в соответствии с действующим законодательством РФ.