Политика конфиденциальности

1. Общие положения

1.1. Назначение политики

Настоящий документ (далее – Политика) определяет цели и общиепринципы обработки персональных данных, а также реализуемые мерызащиты персональных данных в Компании. Компания являетсяоператором персональных данных. Политика является общедоступнымдокументом Компании и предусматривает возможность ознакомления с нейлюбых лиц.

1.2. Основные понятия

автоматизированная обработка персональных данных – обработкаперсональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищённостиперсональных данных, характеризуемое способностью пользователей,технических средств и информационных технологий обеспечитьконфиденциальность, целостность и доступность персональных данных приих обработке в информационных системах персональных данных;

блокирование персональных данных – временное прекращениеобработки персональных данных (за исключением случаев, если обработканеобходима для уточнения персональных данных);

информационная система персональных данных – совокупностьсодержащихся в базах данных персональных данных и обеспечивающих ихобработку информационных технологий, и технических средств;

конфиденциальность персональных данных – обязательное длясоблюдения оператором или иным получившим доступ к персональнымданным лицом требование не допускать их распространения без согласиясубъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) –доступ к информации или действия с информацией, осуществляемые снарушением установленных прав и (или) правил доступа к информации илидействий с ней с применением штатных средств информационной системыили средств, аналогичных им по своим функциональному предназначению итехническим характеристикам;

обработка персональных данных – любое действие (операция) илисовокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональнымиданными, включая сбор, запись, систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование,удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которыхстановится невозможным без использования дополнительной информацииопределить принадлежность персональных данных конкретному субъектуперсональных данных;

оператор – государственный орган, муниципальный орган,юридическое или физическое лицо, самостоятельно или совместно с другимилицами организующие и (или) осуществляющие обработку персональныхданных, а также определяющие цели обработки персональных данных, составперсональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо иликосвенно определённому или определяемому физическому лицу (субъектуперсональных данных);

персональные данные, разрешённые субъектом персональных данныхдля распространения – персональные данные, доступ неограниченного кругалиц к которым предоставлен субъектом персональных данных путём дачисогласия на обработку персональных данных, разрешённых субъектомперсональных данных для распространения в порядке, предусмотренномФедеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональныхданных»;

предоставление персональных данных – действия, направленные нараскрытие персональных данных определённому лицу или определённомукругу лиц;

распространение персональных данных – действия, направленные нараскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных– средства вычислительной техники, информационно-вычислительныекомплексы и сети, средства и системы передачи, приёма и обработкиперсональных данных (средства и системы звукозаписи, звукоусиления,звуковоспроизведения, переговорные и телевизионные устройства, средстваизготовления, тиражирования документов и другие технические средстваобработки речевой, графической, видео- и буквенно-цифровой информации),программные средства (операционные системы, системы управления базамиданных и т.п.), средства защиты информации;

трансграничная передача персональных данных – передачаперсональных данных на территорию иностранного государства органувласти иностранного государства, иностранному физическому лицу илииностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий ифакторов, создающих опасность несанкционированного, в том числеслучайного, доступа к персональным данным, результатом которого можетстать уничтожение, изменение, блокирование, копирование, распространениеперсональных данных, а также иных несанкционированных действий при ихобработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которыхстановится невозможным восстановить содержание персональных данных винформационной системе персональных данных и (или) в результате которыхуничтожаются материальные носители персональных данных.

1.3. Основные права Компании

Обработка персональных данных осуществляется на законной исправедливой основе, а также с соблюдением принципов и правил,предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «Оперсональных данных» (далее – Федеральный закон № 152-ФЗ) на основаниисогласия субъекта персональных данных на обработку его персональныхданных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Компания оставляет за собой право проверить полноту и точностьпредоставленных персональных данных (далее также – ПДн), ихдостаточность, а в необходимых случаях и актуальность по отношению кцелям обработки ПДн. В случае выявления ошибочных или неполных ПДн,Компания имеет право прекратить все отношения с субъектом ПДн.

В случае получения согласия на обработку ПДн от представителясубъекта ПДн, полномочия данного представителя на дачу согласия от именисубъекта ПДн проверяются Компанией.

Компанией могут быть получены ПДн от лица, не являющегосясубъектом ПДн, при условии предоставления Компанией подтвержденияналичия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн,Компания вправе продолжить обработку ПДн без согласия субъекта ПДн приналичии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Компания вправе поручить обработку ПДн третьим лицам с согласиясубъекта ПДн, если иное не предусмотрено федеральным законом, наосновании заключаемого с этим лицом соглашения (договора), либо путёмпринятия соответствующего акта (далее – поручение Компании). Лицо,осуществляющее обработку ПДн по поручению Компании, обязанособлюдать принципы и правила обработки ПДн, предусмотренныеФедеральным законом № 152-ФЗ. В поручении Компании должны бытьопределены перечень ПДн, перечень действий (операций) с ПДн, которыебудут совершаться лицом, осуществляющим обработку ПДн, цели ихобработки, должна быть установлена обязанность такого лица соблюдатьконфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18и статьёй 18.1 Федерального закона № 152-ФЗ, обязанность по запросуКомпании в течение срока действия поручения Компании, в том числе дообработки ПДн, предоставлять документы и иную информацию,подтверждающие принятие мер и соблюдение в целях исполнения порученияКомпании требований, установленных в соответствии с Федеральнымзаконом № 152-ФЗ, обязанность обеспечивать безопасность ПДн при ихобработке, а также должны быть указаны требования к защитеобрабатываемых ПДн в соответствии со статьёй 19 Федерального закона №152-ФЗ, в том числе требование об уведомлении Компании о случаях,предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.

Лицо, осуществляющее обработку ПДн по поручению Компании, необязано получать согласие субъекта ПДн на обработку его ПДн.

В случаях, когда Компания поручает обработку ПДн третьему лицу,ответственность перед субъектом ПДн за действия указанного лица несётКомпания. Лицо, осуществляющее обработку ПДн по поручению Компании,несёт ответственность перед Компанией.

В случае, если Компания поручает обработку ПДн иностранномуфизическому лицу или иностранному юридическому лицу, ответственностьперед субъектом ПДн за действия указанных лиц несёт Компания и лицо,осуществляющее обработку ПДн по поручению Компании.

1.4. Основные обязанности Компании

Компания не собирает, не обрабатывает и не передаёт ПДн субъектовПДн третьим лицам, без согласия субъекта ПДн, если иное не предусмотренозаконодательством Российской Федерации.

В случае выявления неправомерной обработки ПДн, при обращениилибо по запросу субъекта ПДн или его представителя либо уполномоченногооргана по защите прав субъектов ПДн, Компания осуществляет блокированиенеправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн,или обеспечивает их блокирование (если обработка ПДн осуществляетсядругим лицом, действующим по поручению Компании) с момента такогообращения или получения указанного запроса на период проверки.

В случае выявления неточных ПДн, при обращении либо по запросусубъекта ПДн или его представителя либо по запросу уполномоченногооргана по защите прав субъектов ПДн, Компания осуществляет блокированиеПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование(если обработка ПДн осуществляется другим лицом, действующим попоручению Компании с момента такого обращения или получения указанногозапроса на период проверки, если блокирование ПДн не нарушает права изаконные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн, Компания наосновании сведений, предоставленных субъектом ПДн или егопредставителем либо уполномоченным органом по защите прав субъектовПДн, или иных необходимых документов, уточняет ПДн либо обеспечиваетих уточнение (если обработка ПДн осуществляется другим лицом,действующим по поручению Компании) в течение 7 рабочих дней со дняпредставления таких сведений и снимает блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемойКомпанией или лицом, действующим по поручению Компании, Компания всрок, не превышающий 3-х рабочих дней с даты этого выявления,осуществляет прекращение неправомерной обработки ПДн или обеспечиваетпрекращение неправомерной обработки ПДн лицом, действующим попоручению Компании.

В случае, если обеспечить правомерность обработки ПДн невозможно,Компания в срок, не превышающий 10 рабочих дней с даты выявлениянеправомерной обработки ПДн, осуществляет уничтожение таких ПДн илиобеспечивает их уничтожение. Решение о неправомерности обработки ПДн инеобходимости уничтожения ПДн принимает ответственный за организациюобработки ПДн Компании, который доводит соответствующую информациюдо руководства. Об устранении допущенных нарушений или об уничтоженииПДн Компания уведомляет субъекта ПДн или его представителя, а в случае,если обращение субъекта ПДн или его представителя либо запросуполномоченного органа по защите прав субъектов ПДн были направленыуполномоченным органом, также указанный орган.

В случае установления факта неправомерной или случайной передачи(предоставления, распространения, доступа) ПДн, повлекшей нарушениеправ субъекта(-ов) ПДн, Компания с момента выявления такого инцидентаКомпанией, уполномоченным органом по защите прав субъектов ПДн илииным заинтересованным лицом уведомить уполномоченный орган по защитеправ субъектов ПДн:

1) в течение 24-х часов о произошедшем инциденте, о предполагаемыхпричинах, повлекших нарушение прав субъектов ПДн, и предполагаемомвреде, нанесенном правам субъектов ПДн, о принятых мерах по устранениюпоследствий соответствующего инцидента, а также предоставить сведения олице, уполномоченном Компанией на взаимодействие с уполномоченныморганом по защите прав субъектов ПДн, по вопросам, связанным свыявленным инцидентом;

2) в течение 72-х часов о результатах внутреннего расследованиявыявленного инцидента, а также предоставить сведения о лицах, действиякоторых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки ПДн, Компания прекращаетобработку ПДн или обеспечивает её прекращение (если обработка ПДносуществляется другим лицом, действующим по поручению Компании) иуничтожает ПДн или обеспечивает их уничтожение (если обработка ПДносуществляется другим лицом, действующим по поручению Компании) всрок, не превышающий 30 дней с даты достижения цели обработки ПДн, еслииное не предусмотрено договором, стороной которого,выгодоприобретателем или поручителем по которому является субъект ПДн,иным соглашением между Компанией и субъектом ПДн либо, если Компанияне вправе осуществлять обработку ПДн без согласия субъекта ПДн наоснованиях, предусмотренных Федеральным законом № 152-ФЗ или другимифедеральными законами.

В случае отзыва субъектом ПДн согласия на обработку его ПДн,Компания прекращает их обработку или обеспечивает прекращение такойобработки (если обработка ПДн осуществляется другим лицом, действующимпо поручению Компании) и в случае, если сохранение ПДн более нетребуется для целей обработки ПДн, уничтожает ПДн или обеспечивает ихуничтожение (если обработка ПДн осуществляется другим лицом,действующим по поручению Компании) в срок, не превышающий 30 дней сдаты поступления указанного отзыва, если иное не предусмотренодоговором, стороной которого, выгодоприобретателем или поручителем покоторому является субъект ПДн, иным соглашением между Компанией исубъектом ПДн либо, если Компания не вправе осуществлять обработку ПДнбез согласия субъекта ПДн на основаниях, предусмотренных Федеральнымзаконом № 152-ФЗ или другими федеральными законами.

В случае обращения субъекта ПДн к Компании с требованием опрекращении обработки ПДн, Компания в срок, не превышающий 10 рабочихдней с даты получения Компанией соответствующего требования,прекращает их обработку или обеспечивает прекращение такой обработки(если такая обработка осуществляется лицом, осуществляющим обработкуперсональных данных), за исключением случаев, предусмотренных пунктами2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федеральногозакона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5рабочих дней в случае направления Компанией в адрес субъекта ПДнмотивированного уведомления с указанием причин продления срокапредоставления запрашиваемой информации.

В срок, не превышающий 7 рабочих дней со дня предоставлениясубъектом ПДн или его представителем сведений, подтверждающих, что ПДнявляются неполными, неточными или неактуальными, Компания вносит вних необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представлениясубъектом ПДн или его представителем сведений, подтверждающих, чтотакие ПДн являются незаконно полученными или не являются необходимымидля заявленной цели обработки, Компания уничтожает такие ПДн. При этомКомпания уведомляет субъекта ПДн или его представителя о внесённыхизменениях и предпринятых мерах и принимает разумные меры дляуведомления третьих лиц, которым ПДн этого субъекта были переданы.

В случае отсутствия возможности уничтожения ПДн в течение срока,указанные выше по тексту, Компания осуществляет блокирование таких ПДнили обеспечивает их блокирование (если обработка ПДн осуществляетсядругим лицом, действующим по поручению Компании) и обеспечиваетуничтожение ПДн в срок, не более, чем 6 месяцев, если иной срок неустановлен федеральными законами.

Подтверждение уничтожения ПДн осуществляется в соответствии стребованиями, установленными уполномоченным органом по защите правсубъектов ПДн.

1.5. Основные права субъекта ПДн

Субъект ПДн принимает решение о предоставлении своих ПДн и даётсогласие на их обработку свободно, своей волей и в своём интересе. Вслучаях, предусмотренных федеральным законом, обработка ПДносуществляется только с согласия в письменной форме субъекта ПДн.Равнозначным содержащему собственноручную подпись субъекта ПДнсогласию в письменной форме на бумажном носителе признается согласие вформе электронного документа, подписанного в соответствии с федеральнымзаконом электронной подписью.

В целях обеспечения своих законных интересов, субъекты ПДн или егопредставители имеют право:

1) получать полную информацию о своих ПДн и обработке этих данных(в том числе автоматизированной);

2) осуществлять свободный бесплатный доступ к своим ПДн, включаяправо получать копии любой записи, содержащей ПДн субъекта, заисключением случаев, предусмотренных частью 8 статьи 14 Федеральногозакона № 152-ФЗ;

3) требовать уточнение своих ПДн, их блокирование или уничтожение,в случаях, если ПДн являются неполными, устаревшими, неточными,незаконно полученными или не являются необходимыми для заявленной целиобработки, а также принимать предусмотренные законом меры по защитесвоих прав. Субъект ПДн при отказе Компанией исключить или исправить,блокировать или уничтожить его ПДн, имеет право заявить в письменнойформе о своём несогласии, обосновав соответствующим образом такоенесогласие;

4) требовать от Компании уведомления всех лиц, которым ранее былисообщены неверные или неполные, устаревшие, неточные, незаконнополученные или не являющиеся необходимыми для заявленной целиобработки ПДн субъекта, обо всех произведённых в них изменениях илиисключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;

5) обжаловать в суде или в уполномоченном органе по защите правсубъектов ПДн любые неправомерные действия или бездействие Компаниипри обработке и защите ПДн субъекта, если субъект ПДн считает, чтоКомпания осуществляет обработку его ПДн с нарушением требованийФедерального закона № 152-ФЗ или иным образом нарушает его права исвободы. Субъект ПДн имеет право на защиту своих прав и законныхинтересов, в том числе на возмещение убытков и (или) компенсациюморального вреда в судебном порядке.

Субъект ПДн имеет право на получение информации, касающейсяобработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн Компанией;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые Компанией способы обработки ПДн;

4) наименование и место нахождения Компании, сведения о лицах (заисключением работников Компании), которые имеют доступ к ПДн иликоторым могут быть раскрыты ПДн на основании договора с Компанией илина основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъектуПДн, источник их получения, если иной порядок представления таких данныхне предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренныхФедеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемойтрансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица,осуществляющего обработку ПДн по поручению Компании, если обработкапоручена или будет поручена такому лицу;

10) информацию о способах исполнения Компанией обязанностей,установленных статьёй 18.1 Федерального закона № 152-ФЗ;

11) иные сведения, предусмотренные Федеральным законом № 152-ФЗили другими федеральными законами.

В случае, если обрабатываемые ПДн были предоставлены дляознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратитьсяповторно в Компанию или направить ему повторный запрос в целяхполучения сведений, и ознакомления с ПДн не ранее, чем через 30 дней послепервоначального обращения или направления первоначального запроса, еслиболее короткий срок не установлен федеральным законом, принятым всоответствии с ним нормативным правовым актом или договором, сторонойкоторого либо выгодоприобретателем или поручителем по которомуявляется субъект ПДн.

Субъект ПДн вправе обратиться повторно или направить емуповторный запрос до истечения 30 дневного срока в случае, если сведения и(или) обрабатываемые ПДн не были предоставлены ему для ознакомления вполном объеме по результатам рассмотрения первоначального обращения.Повторный запрос должен содержать обоснование направления повторногозапроса.

Компания вправе отказать субъекту ПДн в выполнении повторногозапроса, не соответствующего условиям, предусмотренные частями 4 и 5статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен бытьмотивированным. Обязанность представления доказательств обоснованностиотказа в выполнении повторного запроса лежит на Компании.

Право субъекта ПДн на доступ к его ПДн может быть ограничено всоответствии с федеральными законами, в том числе, если:

1) обработка ПДн, включая ПДн, полученные в результатеоперативно-розыскной, контрразведывательной и разведывательнойдеятельности, осуществляется в целях обороны страны, безопасностигосударства и охраны правопорядка;

2) обработка ПДн осуществляется органами, осуществившимизадержание субъекта ПДн по подозрению в совершении преступления, либопредъявившими субъекту ПДн обвинение по уголовному делу, либоприменившими к субъекту ПДн меру пресечения до предъявления обвинения,за исключением предусмотренных уголовно-процессуальнымзаконодательством Российской Федерации случаев, если допускаетсяознакомление подозреваемого или обвиняемого с такими ПДн;

3) обработка ПДн осуществляется в соответствии с законодательствомо противодействии легализации (отмыванию) доходов, полученныхпреступным путём, и финансированию терроризма;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересытретьих лиц;

5) обработка ПДн осуществляется в случаях, предусмотренныхзаконодательством Российской Федерации о транспортной безопасности, вцелях обеспечения устойчивого и безопасного функционированиятранспортного комплекса, защиты интересов личности, общества игосударства в сфере транспортного комплекса от актов незаконноговмешательства.

2. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранееопределённых и законных целей. Обработке подлежат только ПДн, которыеотвечают целям их обработки. Содержание и объём обрабатываемых ПДндолжны соответствовать заявленным целям обработки. Обрабатываемые ПДнне должны быть избыточными по отношению к заявленным целям ихобработки. Не допускается обработка ПДн, несовместимая с целями сбораПДн. Не допускается объединение баз данных, содержащих ПДн, обработкакоторых осуществляется в целях, несовместимых между собой.

При обработке ПДн Компания обеспечивает точность ПДн, ихдостаточность, а в необходимых случаях и актуальность по отношению кцелям обработки ПДн. Компания принимает необходимые меры либообеспечивает их принятие по удалению или уточнению неполных илинеточных данных.

Целями обработки ПДн в Компании являются:

1) ведение бухгалтерского учета;

2) ведение кадрового учета;

3) выполнение требований трудового законодательства РоссийскойФедерации;

4) заключение,исполнениеипрекращениегражданско-правовыхдоговоровсфизическими, юридическим лицами, индивидуальными предпринимателями и инымилицами,вслучаях,предусмотренныхдействующимзаконодательством.

3. Правовые основания обработки персональных данных

Обработка персональных данных в Компании осуществляется наследующих основаниях:

1) внутренние документы в области защиты персональных данных;

2) гражданский кодекс Российской Федерации;

3) исполнение договора, стороной которого либовыгодоприобретателем или поручителем по которому является субъектперсональных данных, а также заключение договора по инициативе субъектаперсональных данных или договора, по которому субъект персональныхданных будет являться выгодоприобретателем или поручителем;

5) осуществление и выполнение оператором функций, полномочий иобязанностей, возложенных законодательством Российской Федерации, атакже предусмотренных международными договорами;

6) пенсионное законодательство Российской Федерации;

7) письменное согласие субъекта персональных данных;

8) продвижение товаров, работ, услуг на рынке путем осуществленияпрямых контактов с потенциальным потребителем с помощью средств связи,а также политическая агитации, при условии предварительного согласиясубъекта персональных данных;

9) согласие субъекта персональных данных;

10) ст. 86-90 Трудового кодекса РФ;

11) трудовое законодательство Российской Федерации;

12) учредительный документ Компании.

4. Объём и категории обрабатываемых персональных данных, категориисубъектов персональных данных

Компания осуществляет на законной и справедливой основе обработкуПДн следующих физических лиц (субъектов ПДн):

Цель «ведение бухгалтерского учета» достигается посредствомобработки ПДн следующих категорий для следующих субъектов ПДн:

1) контрагенты:

Иные категории ПДн: данные документа, удостоверяющего личность,ИНН, контактные сведения (номер телефона, электронная почта), фамилия,имя, отчество.

3) сотрудники:

Иные категории ПДн: адрес проживания, адрес регистрации,гражданство, данные водительского удостоверения, данные документа,удостоверяющего личность, данные трудовой книжки, дата рождения,занимаемая должность, ИНН, информация о трудовой деятельности,квалификация, контактные сведения (номер телефона, электронная почта),образование, паспортные данные, пол, профессия, реквизитылицевого/банковского счета, сведения о воинском учёте, сведения опереподготовке и повышении квалификации, семейное положение, СНИЛС,фамилия, имя, отчество.

Способ обработки персональных данных: смешанный тип обработкиперсональных данных со следующими действиями с персональнымиданными: блокирование; запись; извлечение; использование; накопление;обезличивание; передача (доступ); передача (предоставление); передача(распространение); сбор; систематизация; удаление; уничтожение; уточнение(обновление, изменение); хранение.

Срок обработки ПДн: 75, срок хранения ПДн: 75.

Цель «ведение кадрового учета» достигается посредством обработкиПДн следующих категорий для следующих субъектов ПДн:

1) кандидаты на замещение вакантных должностей:

Иные категории ПДн: дата рождения, контактные сведения (номертелефона, электронная почта), пол, фамилия, имя, отчество.

2) клиенты:

Иные категории ПДн: контактные сведения (номертелефона, электронная почта), фамилия, имя, отчество.

3) контрагенты:

Иные категории ПДн: данные документа, удостоверяющего личность,ИНН, контактные сведения (номер телефона, электронная почта), пол,фамилия, имя, отчество.

4) сотрудники:

Способ обработки персональных данных: смешанный тип обработкиперсональных данных со следующими действиями с персональнымиданными: блокирование; запись; извлечение; использование; накопление;передача (распространение); сбор; систематизация; удаление; уничтожение;уточнение (обновление, изменение); хранение.

Срок обработки ПДн: 75, срок хранения ПДн: 75.

Цель «выполнение требований трудового законодательства РоссийскойФедерации» достигается посредством обработки ПДн следующих категорийдля следующих субъектов ПДн:

1) кандидаты на замещение вакантных должностей:

2) клиенты:

Иные категории ПДн: дата рождения, контактныесведения (номер телефона, электронная почта), место работы, пол, фамилия, имя, отчество.

3) контрагенты:

Иные категории ПДн: адрес проживания, данные документа,удостоверяющего личность, ИНН, контактные сведения (номер телефона,электронная почта), пол, фамилия, имя, отчество.

Способ обработки персональных данных: автоматизированный типобработки персональных данных со следующими действиями сперсональными данными: блокирование; запись; извлечение; использование;накопление; передача (распространение); сбор; систематизация; удаление;уничтожение; уточнение (обновление, изменение); хранение.

Срок обработки ПДн: 75, срок хранения ПДн: 75.

 Цель «заключение,исполнениеипрекращениегражданско-правовыхдоговоровсфизическими, юридическим лицами, индивидуальными предпринимателями и инымилицами,вслучаях,предусмотренныхдействующимзаконодательством» достигается посредством обработки ПДн следующих категорийдля следующих субъектов ПДн:

1) кандидаты на замещение вакантных должностей:

2) клиенты:

Иные категории ПДн: адрес проживания, дата рождения, контактныесведения (номер телефона, электронная почта), фамилия, имя, отчество.

3) контрагенты:

Срок обработки ПДн: 75, срок хранения ПДн: 75.

5. Порядок и условия обработки персональных данных

5.1. Перечень действий с ПДн субъектов, осуществляемых Компанией

Компанией осуществляются следующие действия с ПДн, необходимых для достижения всех целей обработки ПДн: передача(распространение), передача (доступ), запись, блокирование,систематизация, передача (предоставление), использование, удаление,обезличивание, накопление, сбор, хранение, уточнение (обновление,изменение), уничтожение, извлечение;

5.2. Способы обработки ПДн

Компанией применяетсясмешанный способ обработки с передачей по внутренней сети и сети Интернет ПДн для достижения всех целей обработки ПДн.

5.3. Передача ПДн третьим лицам

В случае поручения обработки ПДн третьему лицу, ему предъявляютсятребования принимать необходимые организационные и технические мерыдля защиты ПДн от неправомерного или случайного доступа к ним,уничтожения, изменения, блокирования, копирования, предоставления,распространения, а также от иных неправомерных действий в отношенииПДн, в том числе: определение угроз безопасности ПДн при их обработке винформационных системах; учёт машинных носителей ПДн; обнаружениефактов несанкционированного доступа к ПДн и принятием мер по ихнедопущению в дальнейшем; контроль принимаемых мер по обеспечениюбезопасности ПДн и уровня (класса) защищённости информационных системс ПДн.

Кроме того, Компания вправе передавать ПДн органам дознания иследствия, иным уполномоченным органам по основаниям,предусмотренным действующим законодательством Российской Федерации.

5.4. Меры по обеспечению безопасности ПДн при их обработке

Компания, при обработке ПДн, принимает необходимые правовые,организационные и технические меры, и обеспечивает их принятие длязащиты ПДн от неправомерного или случайного доступа к ним, уничтожения,изменения, блокирования, копирования, предоставления, распространенияПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается Компанией, в частности,следующими мерами:

1) оценка вреда, в соответствии с требованиями, установленнымиуполномоченным органом по защите прав субъектов персональных данных,который может быть причинён субъектам персональных данных в случаенарушения закона «О персональных данных», соотношение указанного вредаи принимаемых защитных мер, направленных на обеспечениевыполнения обязанностей, предусмотренных законом «О персональныхданных»;

2) осуществление внутреннего контроля и (или) аудита соответствияобработки персональных данных закону «О персональных данных» ивнутренним документам Компании по вопросам обработки персональныхданных;

3) ознакомление работников, непосредственно осуществляющихобработку персональных данных, с положениями законодательстваРоссийской Федерации о персональных данных, политикой Компании вотношении обработки персональных данных, локальными актами повопросам обработки персональных данных, и (или) обучение указанныхработников;

4) издание политики Компании в отношении обработки персональныхданных, локальных актов по вопросам обработки персональных данных,определяющих для каждой цели обработки персональных данных категории иперечень обрабатываемых персональных данных, категории субъектов,персональные данные которых обрабатываются, способы, сроки ихобработки и хранения, порядок уничтожения персональных данных придостижении целей их обработки или при наступлении иных законныхоснований, а также локальных актов, устанавливающих процедуры,направленные на предотвращение и выявление нарушений законодательстваРоссийской Федерации, устранение последствий таких нарушений;

5) учёт машинных носителей персональных данных;

6) назначение ответственного за организацию обработки персональныхданных;

7) восстановление персональных данных, модифицированных илиуничтоженных вследствие несанкционированного доступа к ним;

8) применение прошедших в установленном порядке процедуру оценкисоответствия средств защиты информации;

9) определение угроз безопасности персональных данных при ихобработке в информационных системах персональных данных;

10) оценка эффективности принимаемых мер по обеспечениюбезопасности персональных данных до ввода в эксплуатациюинформационной системы персональных данных;

11) установление правил доступа к персональным данным,обрабатываемым в информационной системе персональных данных, а такжеобеспечением регистрации и учёта всех действий, совершаемых сперсональными данными в информационной системе персональных данных;

12) обнаружение фактов несанкционированного доступа кперсональным данным и принятием мер, в том числе мер пообнаружению, предупреждению и ликвидации последствий компьютерныхатак на информационные системы персональных данных и по реагированиюна компьютерные инциденты в них;

13) контроль за принимаемыми мерами по обеспечению безопасностиперсональных данных и уровня защищённости информационных системперсональных данных;

14) применение организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных, необходимых для выполнения требований кзащите персональных данных, исполнение которых обеспечиваетустановленные Правительством Российской Федерации уровнизащищённости персональных данных.

5.5. Сроки обработки ПДн

Персональные данные субъектов, обрабатываемые Компанией,подлежат уничтожению либо обезличиванию в случае:

1) достижения целей обработки ПДн или утраты необходимости вдостижении этих целей;

2) отзыва субъектом ПДн согласия на обработку его ПДн;

3) истечение срока действия согласия субъекта ПДн на обработку егоПДн;

4) отсутствия возможности обеспечить правомерность обработки ПДн;

5) прекращения деятельности Компании.

5.6. Условия обработки ПДн без использования средств автоматизации

При обработке ПДн, осуществляемой без использования средствавтоматизации, Компания выполняет требования, установленныепостановлением Правительства Российской Федерации от 15 сентября 2008 г.№ 687 «Об утверждении Положения об особенностях обработкиперсональных данных, осуществляемой без использования средствавтоматизации».

Персональные данные при такой их обработке обособляются от инойинформации, в частности, путём фиксации их на отдельных материальныхносителях ПДн, в специальных разделах или на полях форм (бланков).

Хранение ПДн осуществляется в форме, позволяющей определитьсубъекта ПДн, не дольше, чем этого требуют цели их обработки.

6. Регламент реагирования на запросы обращения субъектов персональныхданных и их представителей

При устном обращении либо письменном запросе субъекта ПДн или егопредставителя на доступ к ПДн субъекта, Компания руководствуетсятребованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.

Сведения о наличии и обработке ПДн предоставляются субъекту ПДнили его представителю Компанией при обращении либо при получениизапроса от субъекта ПДн или его представителя. Запрос должен содержатьномер основного документа, удостоверяющего личность субъекта ПДн илиего представителя, сведения о дате выдачи указанного документа и выдавшемего органе, сведения, подтверждающие участие субъекта ПДн в отношенияхс Компанией (номер договора, дата заключения договора, условноесловесное обозначение и (или) иные сведения), либо сведения, иным образомподтверждающие факт обработки ПДн Компанией, подпись субъекта ПДнили его представителя. Запрос может быть направлен в форме электронногодокумента и подписан электронной подписью в соответствии сзаконодательством Российской Федерации.

Доступ субъекта ПДн или его представителя к ПДн субъекта Компанияпредоставляет только под контролем ответственного за организациюобработки ПДн (далее – Ответственный) Компании.

Ответственный Компании принимает решение о предоставлениидоступа субъекту ПДн или его представителю к ПДн указанного субъекта.

В случае, если данные, предоставленные субъектом ПДн или егопредставителем не достаточны для установления его личности илипредоставление ПДн нарушают конституционные права и свободы другихлиц, Ответственный Компании подготавливает мотивированный ответ,содержащий ссылку на положение части 8 статьи 14 Федерального закона№ 152-ФЗ или иного федерального закона, являющийся основанием длятакого отказа, в срок, не превышающий 10 рабочих дней со дня обращениясубъекта ПДн или его представителя либо от даты получения запросасубъекта ПДн или его представителя. Указанный срок может быть продлён,но не более чем на 5 рабочих дней в случае направления Компанией в адрессубъекта ПДн мотивированного уведомления с указанием причин продлениясрока предоставления запрашиваемой информации. Сведенияпредоставляются субъекту ПДн или его представителю в той форме, вкоторой направлены соответствующие обращение либо запрос, если иное неуказано в обращении или запросе.

Для предоставления доступа субъекту ПДн или его представителя кПДн субъекта, Ответственный Компании привлекает работниковструктурного подразделения (отдела), обрабатывающих ПДн субъекта, посогласованию с руководителем этого структурного подразделения (отдела).

Компания предоставляет безвозмездно субъекту ПДн или егопредставителю возможность ознакомления с ПДн, относящиеся к этомусубъекту ПДн.

Сведения о наличии ПДн Компания предоставляет субъекту ПДн илиего представителю в доступной форме, и в них не должны содержаться ПДн,относящиеся к другим субъектам ПДн, за исключением случаев, еслиимеются законные основания для раскрытия таких ПДн. Контрольпредоставления сведений субъекту ПДн или его представителю осуществляетОтветственный Компании.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДнили его представителю при ответе на запрос или при обращении в течение 10рабочих дней от даты получения запроса (обращения) субъекта ПДн или егопредставителя. Указанный срок может быть продлён, но не более чем на 5рабочих дней в случае направления Компанией в адрес субъекта ПДнмотивированного уведомления с указанием причин продления срокапредоставления запрашиваемой информации. Сведения предоставляютсясубъекту ПДн или его представителю в той форме, в которой направленысоответствующие обращение либо запрос, если иное не указано в обращенииили запросе.

В случае отказа Компанией в предоставлении информации о наличииПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или егопредставителю при их обращении либо при получении запроса субъекта ПДнили его представителя, Компания предоставляет в письменной формемотивированный ответ, содержащий ссылку на положение части 8 статьи 14Федерального закона № 152-ФЗ или иного федерального закона, являющеесяоснованием для такого отказа, в срок, не превышающий 10 рабочих дней содня обращения субъекта ПДн или его представителя либо с даты получениязапроса субъекта ПДн или его представителя. Указанный срок может бытьпродлён, но не более чем на 5 рабочих дней в случае направления Компаниейв адрес субъекта ПДн мотивированного уведомления с указанием причинпродления срока предоставления запрашиваемой информации.

1) обработка ПДн, включая ПДн, полученные в результатеоперативно-разыскной, контрразведывательной и разведывательнойдеятельности, осуществляется в целях обороны страны, безопасностигосударства и охраны правопорядка;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересытретьих лиц;

7. Регламент реагирования, в случае запроса уполномоченного органа позащите прав субъектов персональных данных

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ,Компания сообщает в уполномоченный орган по защите прав субъектов ПДнпо его запросу информацию, необходимую для осуществления деятельностиуказанного органа, в течение 10 дней с даты получения такого запроса.Указанный срок может быть продлён, но не более чем на 5 рабочих дней вслучае направления Компанией в адрес уполномоченного органа по защитеправ субъектов ПДн мотивированного уведомления с указанием причинпродления срока предоставления запрашиваемой информации.

Сбор сведений для составления мотивированного ответа на запроснадзорных органов осуществляет Ответственный Компании, принеобходимости с привлечением работников Компании.

В течение установленного срока, Ответственный Компанииподготавливает и направляет в уполномоченный орган по защите правсубъектов ПДн мотивированный ответ и другие необходимые документы.