Политика безопасности персональных данных ООО «Элма»

Данный документ определяет политику ООО «Элма» (далее Компания) в отношении обработки персональных данных и излагает систему основных принципов в отношении обработки персональных данных.

Цель настоящей Политики - обеспечение защиты прав и свобод субъекта при обработке его персональных данных.

Политика разработана в соответствии с законодательством Российской Федерации, в том числе Федеральным Законом от 25.07.2006 No152 «О персональных данных». В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном Законе от 25.07.2006 No152 «О персональных данных».

Политика служит основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.

Политика распространяется на всех сотрудников Компании (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Компании, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Политика действует бессрочно после утверждения и до ее замены новой версией.

Компания осуществляет обработку персональных данных на основании:

1. Конституции РФ;
2. Гражданского кодекса;
3. Трудового кодекса;
4. Налогового кодекса;
5. Федерального закона от 27.07.2006 No 152-ФЗ в пунктах 1, 2, 5 части 1 статьи 6;
6. Федеральный закон от 06.04.2011г. No 63-ФЗ «Об электронной подписи»;
7. Федеральный закон от 24.07.2009г. No 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
8. Федеральный закон от 22.10.2004г. No 125-ФЗ «Об архивном деле в РФ»;
9. Закон РФ от 10.07.1992г. No 3266-1 «Об образовании»;
10. Устав ООО «Элма»;

Персональные данные обрабатываются Компанией в целях:

1. Оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях организации и проведения Компанией, (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;
2. Исполнения Компанией обязательств в рамках договоров по поставке продуктов, проведение мероприятий и оказание любых иных услуг субъектам персональных данных;
3. Продвижения услуг и/или товаров Компании и/или партнеров Компании на рынке путем осуществления прямых контактов с клиентами Компании с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;
4. Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, обеспечения пропускного и внутриобъектового режимов на территории Компании;
5. Формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, её филиалов и представительств;
6. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
7. Осуществление прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей, или иных целей если действия компании не противоречит законодательству РФ.

Компания в процессе обработки осуществляет действия в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

Обработка персональных данных в Компании осуществляется следующими способами: неавтоматизированная обработка автоматизированная обработка персональных данных информации по информационно-телекоммуникационным смешанная обработка персональных данных. персональных данных, с передачей полученной сетям или без таковой,

При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

Компания в целях надлежащего исполнения своих обязанностей Оператора обрабатывает персональные данные следующих категорий субъектов:

1. Соискатели на замещение вакантных должностей – в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных.
2. Работники, состоящие или состоявшие в трудовых отношениях с Компанией – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных.
3. Родственники работников Компании – в составе и в сроки, необходимые для осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов Компании, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
4. Представители поставщиков Компании – в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных.
5. Представители потенциальных и существующих клиентов – в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных.
6. Представители партнеров – в составе и в сроки, необходимые для осуществления взаимодействия с партнерами, с согласия субъектов персональных данных.
7. Иные субъекты персональных данных, являющиеся стороной, либо выгодоприобретателем или поручителем по договору заключённого с Компанией;

Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; паспортные данные; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

Персональные данные являются конфиденциальной информацией. Режим конфиденциальности персональных данных снимается в случаях обезличивания, общедоступности данных или иных случаях определенного законодательством РФ.

Сроки обработки персональных данных определены с учетом:

1. Установленных целей обработки персональных данных;
2. Сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
3. Законодательства РФ в области архивного дела.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

1. Достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
2. Утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
3. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
4. Невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
6. Отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
7. Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
8. Ликвидация (реорганизация) Оператора.

Компания не осуществляет трансграничную передачу персональных данных, все персональные данные субъектов хранятся на территории РФ.

Компания передаёт персональные данные третьим лицам в рамках исполнения обязанностей, возложенных на Компанию законодательством РФ, либо с согласия субъекта персональных данных.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

1. назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
2. проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
3. издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
4. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
5. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
6. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
7. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
8. учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
9. резервное копирование информации для возможности восстановления;
10. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

Субъект персональных данных обязан предоставлять Компании достоверные персональные данные и документы, содержащие информацию персонального характера, в случаях и порядке, установленных Трудовым кодексом РФ, ФЗ от 27.07.2006г. No152-ФЗ «О персональных данных», иными федеральными законами и настоящей Политикой.

При изменении персональных данных Субъект персональных данных должен письменно уведомить об этом Компанию в срок, не превышающий 14 дней. Компания имеет право запрашивать у Субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.

Субъект персональных данных обязан ознакомиться с настоящей Политикой, а также законодательством РФ в области обработки персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1. подтверждение факта обработки персональных данных Оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые Оператором способы обработки персональных данных;
4. наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом No152 «О персональных данных» или другими федеральными законами.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект персональных данных имеет право отозвать свое согласие посредством составления соответствующего письменного документа (заявления), который может быть направлен в адрес Компании по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Компании.

Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

Компания имеет право обрабатывать персональные данные без согласия субъекта в случаях, предусмотренных ст. 6 Федерального закона No152 «О персональных данных» или иными актами законодательства РФ.

Компания вправе отказать субъекту персональных данных в выполнении запроса на получение информации, касающейся обработки его персональных данных, в случаях, установленных Федеральным законом No152 «О персональных данных» или иными актами законодательства РФ.

Компания вправе собирать на своих сайтах следующую информацию: IP-адрес, тип браузера, тип устройства (ПК, мобильные), тип операционной системы, время и продолжительность визита, логическое разрешение экрана, информацию cookies и адреса запрашиваемых страниц.

Опубликованная на Сайте Политика является действующей. Компания вправе в любое время вносить в нее изменения. В случае внесения изменений, компания обязана уведомить пользователей путем размещения на Сайте новой редакции Политики.

Настоящая Политика регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные настоящей Политикой, подлежат разрешению в соответствии с законодательством Российской Федерации. Все возможные споры, вытекающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, установленном действующим законодательством Российской Федерации, по нормам российского права. Везде по тексту настоящей Политики, если явно не указано иное, под термином «законодательство» понимается законодательство Российской Федерации.

В случае возникновения вопросов и претензий со стороны Пользователя он должен обратиться в адрес Компании любым доступным способом. Все возникающее споры стороны будут стараться решить путем переговоров, при недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством РФ.

Бездействие со стороны Компании в случае нарушения Пользователем требований Политики не лишает Компанию права предпринять соответствующие действия в защиту своих интересов позднее, а также не означает отказ Компании от своих прав в случае совершения в последующем подобных либо сходных нарушений.

Все споры по Политике или в связи с ним подлежат рассмотрению в суде по месту нахождения Компании в соответствии с действующим процессуальным правом Российской Федерации.

Признание судом недействительности какого-либо требования настоящей Политики не влечет за собой недействительность остальных требований.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.