Политика в области обработки и защиты персональных данных
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Безопасность персональных данных — состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Процесс обработки персональных данных — бизнес-процесс Компании, в рамках которого осуществляется обработка персональных данных.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных. Субъектами персональных данных являются: контрагенты, представители и родственники контрагентов, работники Компании и кандидаты на вакантную должность, работники контрагентов Компании и прочие физические лица, чьи персональные данные обрабатываются в Компании (информация о полном перечне субъектов представлена в разделе 4 Политики).
Cookie-файлы – небольшие текстовые файлы, передаваемые с веб-сайта, сетевого приложения или посредством сетевых сервисов на компьютер или мобильное устройство пользователя, в которых записывается и хранятся информацию о действиях пользователя на веб-сайте, в сетевом приложении или сетевых сервисах.
В настоящей Политике применены следующие обозначения и сокращения:
ИС ПДн – информационная система персональных данных;
Компания – ООО «ФабрикОн»;
ПДн – персональные данные;
Политика – Политика в области обработки и защиты персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика определяет порядок обработки и защиты персональных данных в ООО «ФабрикОн» (ИНН: 7751146052; юридический адрес: 108811, город Москва, километр Киевское шоссе 22-й (п Московский), домовладение 6, строение 1, комната 95; адрес веб-сайта: nerpa-it.ru), далее по тексту – Компания. Документ с Политикой доступен для ознакомления как на веб-сайте Компании, так и в офисах Компании.
Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов ФСТЭК и ФСБ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов Компания обеспечивает легитимность обработки и безопасность персональных данных в своей деятельности.
Компания включена в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в сети «Интернет» по адресу: https://pd.rkn.gov.ru/operators-registry/.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Принципами обработки персональных данных в Компании являются:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- при обработке персональных данных обеспечивается их конфиденциальность и безопасность;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку персональных данных, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод;
- деятельность в области обработки и защиты персональных данных документируется.
4. ЦЕЛИ, ПРАВОВЫЕ ОСНОВАНИЯ И ПРОДОЛЖИТЕЛЬНОСТЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с принципами обработки персональных данных в Компании определены состав обрабатываемых персональных данных и цели их обработки. Состав и цели обработки персональных данных соответствуют требованиям законодательства РФ в области обработки и защиты персональных данных.
Компания при обработке персональных данных преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта персональных данных.
В Компании осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных, обрабатываемых в ООО «ФабрикОн». Обработка указанных персональных данных осуществляется путем смешанной обработки (без использования средств автоматизации и с использованием таких средств), и осуществляется как в информационных системах персональных данных, так и вне информационных систем персональных данных.
Для каждой категории субъектов персональных данных установлены правовые основания, в связи с которыми Компанией осуществляется обработка их персональных данных. Обработка персональных данных Компанией при отсутствии надлежащих правовых оснований не допускается.
Компанией осуществляется обработка персональных данных по достижению сроков окончания обработки персональных данных или выполнению условий окончания обработки персональных данных, если иное не установлено требованиям законодательства РФ, согласием на обработку персональных данных или не следует из договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Архивное хранение персональных данных производится в установленных законодательством случаях и порядке. При уничтожении персональных данных в установленных законодательством РФ случаях осуществляется подтверждение уничтожения персональных данных.
В Компании осуществляется обработка персональных данных следующих категорий субъектов персональных данных для достижения целей обработки и в связи с указанными правовыми основаниями:
Кандидаты на вакантную должность
Цели обработки персональных данных |
|
Правовые основания обработки персональных данных |
|
Контрагенты — физические лица (ИП, физические лица, действующие без образования юридического лица, поручители), их представители
Цели обработки персональных данных |
|
Правовые основания обработки персональных данных |
|
Контрагенты - юридические лица (их работники и/или представители по доверенности)
Цели обработки персональных данных |
|
Правовые основания обработки персональных данных |
|
Работники, родственники работников, их представители
Цели обработки персональных данных |
|
Правовые основания обработки персональных данных |
|
Физические лица - участники мероприятий
Цели обработки персональных данных |
|
Правовые основания обработки персональных данных |
|
5. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Компанией на законной основе. В случаях, предусмотренных действующим законодательством, Компания осуществляет получение согласия субъекта на обработку его персональных данных по установленной действующим законодательством форме. Если Компания получает персональных данных от третьего лица, то она в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи персональных данных в Компанию.
При обработке персональных данных обеспечивается точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Компания предполагает, что субъект персональных данных представил ей точные, достаточные и актуальные данные. Если субъект персональных данных обнаружил неточность в обрабатываемых персональных данных и направил соответствующий запрос, или такая неточность была обнаружена самой Компанией, Компания предпримет все необходимые меры для обеспечения точности, достаточности и актуальности персональных данных.
Компания в ходе своей деятельности вправе поручать обработку персональных данных третьему лицу, если иное не предусмотрено действующим законодательством. При этом обязательным условием поручения обработки персональных данных (в виде договора или доверенности) другому лицу является обязанность по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.
В Компании запрещено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Если по сути своей деятельности Компания выступает продавцом (исполнителем, владельцем агрегатора) в отношении субъекта персональных данных, являющегося потребителем, то тогда Компания не вправе отказывать субъекту персональных данных в заключении, исполнении, изменении или расторжении договора с субъектом персональных данных в связи с отказом субъекта персональных данных предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с субъектом персональных данных. Компания не вправе отказывать в обслуживании в случае отказа субъекта персональных данных дать согласие на обработку персональных данных, если в соответствии с законодательством Российской Федерации получение Компанией согласия на обработку персональных данных не является обязательным.
В Компании не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных действующим законодательством РФ. Компания незамедлительно прекращает обработку специальных категорий персональных данных по достижению целей их обработки, если иное не установлено федеральным законом.
В Компании не допускается обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), за исключением случаев, предусмотренных действующим законодательством РФ.
Компания, в ходе своей деятельности, может осуществлять трансграничную передачу персональных данных на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в том числе являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также на территорию иных иностранных государств в соответствии с законодательством РФ.
Компания НЕ распространяет персональные данные субъектов персональных данных без их письменного согласия.
При осуществлении деятельности Компании посредством локальных и глобальных вычислительных сетей могут быть использованы cookie-файлы следующих типов:
- технические – позволяют корректно использовать функции веб-сайта, сетевого приложения или сетевых сервисов и поддерживать их работоспособность (например, определять аппаратное и программное обеспечение пользователя для проверки работоспособности функций веб-сайта, сетевого приложения или сетевых сервисов);
- функциональные - позволяют запоминать выбор, который пользователь сделал в прошлом (например, для автоматического входа в личный кабинет с использованием сохраненного логина и пароля);
- статистические - содержат информацию о том, как используется веб-сайт, сетевое приложение или сетевые сервисы, какие страницы посещаются, сколько пользователей их посещает; предназначением статистических cookie-файлов является улучшение функций сайта;
- маркетинговые - запоминают онлайн-активность, чтобы помочь предоставлять наиболее актуальную рекламу.
При посещении веб-сайта или при использовании сетевого приложения, сетевых сервисов Компания запрашивает согласие пользователей на применение cookie-файлов. Для прекращения использования определенных cookie-файлов пользователь может выбрать соответствующую опцию в запрашиваемом согласии. В этом случае часть функционала веб-сайта, сетевого приложения или сетевых сервисов может оказаться недоступной.
Компания организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться в Компанию по всем предусмотренным в законодательстве вопросам, связанным с обработкой его персональных данных (ознакомление с персональными данными, относящимися к этому субъекту персональных данных, получение информации об обрабатываемых персональных данных, получение информации о третьих лицах, осуществление запросов на уточнение, прекращение обработки, блокировку и уничтожение персональных данных и т.д.). С целью своевременного и надлежащего выполнения запросов и обращений, поступающих от субъектов персональных данных и уполномоченного органа по защите прав субъектов персональных данных, в Компании утвержден порядок обработки таких запросов и обращений.
Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Компанией в случаях и в порядке, предусмотренных законодательством РФ.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право осуществлять действия в части уточнения, блокирования, уничтожения персональных данных, возражения против автоматизированной обработки, а также ознакомления с характеристиками процесса обработки его персональных данных (подтверждение факта обработки персональных данных или факта отсутствия обработки персональных данных, правовые основания и цели обработки, состав персональных данных, источник получения персональных данных, сроки обработки и хранения персональных данных, характер обработки персональных данных, информация о способах исполнения Компанией обязанностей в области обработки и защиты персональных данных и др.).
Субъект персональных данных имеет право извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех изменениях его персональных данных.
Субъект персональных данных имеет право обжаловать в органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке его персональных данных.
Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных в любой момент.
Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона «О персональных данных».
Если вы считаете, что ваши права и интересы нарушены, вы можете подать претензию (ст. 17 Федерального закона «О персональных данных»). Для связи с ООО «ФабрикОн» воспользуйтесь контактной информацией, указанной в соответствующем разделе настоящей Политики. ООО «ФабрикОн» приложит все усилия, чтобы отреагировать на ваш запрос в течение 10 (десяти) рабочих дней после его направления. При необходимости этот срок может быть продлен еще на 5 (пять) рабочих дней с учетом сложности запроса и количества запросов. В любом случае ООО «ФабрикОн» сообщит вам о продлении срока в течение 10 (десяти) рабочих дней.
7. УСТАНОВЛЕНИЕ ПРАВИЛ И ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В Компании во внутренних документах, обязательных для исполнения всеми работниками Компании, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
- процедуры предоставления доступа к персональным данным;
- процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки персональных данных;
- процедуры уничтожения, обезличивания либо блокирования персональных данных в случае необходимости выполнения таких процедур;
- процедуры обработки обращений субъектов персональных данных (их законных представителей) для случаев, предусмотренных законодательством, в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту персональных данных, информации, необходимой для предоставления возможности ознакомления субъектом персональных данных (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
- процедуры получения согласия субъекта персональных данных на обработку его персональных данных и на передачу обработки его персональных данных третьим лицам;
- процедуры передачи персональных данных между пользователями ресурса персональных данных, предусматривающего передачу персональных данных только между работниками Компании, имеющими доступ к персональным данным;
- процедуры передачи персональных данных третьим лицам;
- процедуры работы с материальными носителями персональных данных.
8. ТРЕБОВАНИЯ К КОНФИДЕНЦИАЛЬНОСТИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования действующего законодательства в области обработки и обеспечения безопасности персональных данных. Для этих целей в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:
- разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
- защиту персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка персональных данных осуществляется);
- определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных, технических и организационных мер, обеспечивающих защиту персональных данных, ориентированных на современный уровень техники и необходимую степень защиты данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- установление правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контроль и оценку эффективности применяемых мер (в том числе с привлечением аудиторских проверок);
- обнаружение фактов несанкционированного доступа к персональным данным (и других инцидентов с персональными данными) и принятие мер;
- восстановление персональных данных.
В части обеспечения конфиденциальности обработки Компания предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования персональных данных, в том числе:
- предоставление доступа к персональным данным только в случаях и в порядке, предусмотренном законодательством;
- ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
В Компании назначен ответственный за организацию обработки персональных данных и ответственный за обеспечение безопасности персональных данных. Руководство Компании заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании, как с точки зрения требований действующего законодательства, так и с точки зрения минимизации рисков.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Компания может время от времени вносить изменения в настоящую Политику без предварительного уведомления, и любые изменения вступают в силу с момента их размещения на веб-сайте Компании (nerpa-it.ru) или в офисах Компании.
Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию обработки персональных данных. Ответственность работников Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.
10. КОНТАКТНАЯ ИНФОРМАЦИЯ
Любые обращения, касающиеся обработки персональных данных, направляются с помощью электронной почты, указанной в контактах на веб-сайте Компании (nerpa-it.ru), а также при личном посещении офисов Компании или через письмо по юридическому адресу Компании: 108811, город Москва, километр Киевское шоссе 22-й (п Московский), домовладение 6, строение 1, комната 95.