1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее-Политика) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее - ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПДн клиентов и работников ООО «БЕРЁЗКА» (далее - субъекты ПДн) в ООО «БЕРЁЗКА» (далее-Общество).
1.2. Действие настоящей Политики распространяется на любые действия (операции) или совокупность действий (операций), совершаемых с персональными данными, включая процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, в том числе с использованием интернет-сервисов Яндекс.Метрика, так и без использования таких средств.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы обработки ПДн
2.1.1. Обработка персональных данных в Обществе должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.2. Обработка ПДн осуществляется на основе принципов:
- обработка на законной и справедливой основе;
- соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПДн;
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
- недопущение обработки ПДн, несовместимой с целями сбора ПДн;
- недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- ограничение избыточности обрабатываемых ПДн заявленным целям обработки;
- обеспечение точности и достаточности, актуальности ПДн по отношению к заявленным целям их обработки.
2.2. Согласие на обработку персональных данных
2.2.1. Обработка ПДн осуществляется при условии наличия согласия субъекта ПДн на обработку его ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- а также в иных случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.2.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Общество обязано обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.
2.2.3. Обработка специальной категории ПДн и биометрических ПДн допускается в установленных законодательством случаях, а также при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, когда обработка ПДн может осуществляться без получения согласия субъекта ПДн.
2.2.4. Общество не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и(или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение оператором согласия на обработку ПДн не является обязательным.
2.2.5. Если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, Общество обязано разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
2.3. Хранение персональных данных
2.3.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не установлено законодательством.
2.3.2. ПДн субъектов могут обрабатываться Обществом как на бумажных носителях, так и в электронном виде.
2.3.3. Порядок хранения ПДн для каждой цели обработки, указанных в п.2.8 настоящей Политики, определяется внутренними регламентирующими документами Общества, в том числе Положением об обработке персональных данных работников, Положением об обработке персональных данных клиентов, Стандартной операционной процедурой по хранению и уничтожению конфиденциальной информации.
2.4. Передача персональных данных третьим лицам
2.4.1. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение оператора).
2.4.2. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных».
2.4.3. В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 ФЗ «О персональных данных», обязанность по запросу Общества в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с статьей 6 ФЗ «О персональных данных», обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ «О персональных данных», в том числе требование об уведомлении Общества о случаях, предусмотренных частью 3.1 статьи 21 ФЗ «О персональных данных».
2.4.4. Обществом может осуществляться трансграничная передача ПДн по правилам статьи 12 ФЗ «О персональных данных». До начала осуществления трансграничной передачи ПДн Общество обязано направить в Роскомнадзор уведомление о трансграничной передаче ПДн.
2.5. Уничтожение персональных данных
2.5.1. Обязанность Общества по уничтожению или обеспечению уничтожения (если обработка ПДн осуществляется другим лицом по поручению оператора) ПДн возникает в следующих случаях и сроки:
1) в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, и обеспечить правомерность обработки ПДн невозможно – в течение 10 рабочих дней с даты выявления неправомерной обработки ПДн;
2) достигнуты цели, ради которых оператор обрабатывал ПДн – в срок, не превышающий 30 календарных дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством;
3) субъект ПДн отозвал свое согласие на обработку ПДн и сохранение ПДн более не требуется для целей обработки ПДн - в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством;
4) в случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн – в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования (за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных», например, если обработка ПДн необходима для исполнения договора, стороной которой является субъект ПДн, обработка ПДн данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг и в других случаях). Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.5.2. При отсутствии возможности уничтожения ПДн в течение указанных в п. 2.5.1 настоящей Политики сроков, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
2.5.3. Уничтожение ПДн производится в соответствии с внутренними процессами Общества.
2.5.4. Порядок уничтожения ПДн при достижении каждой цели их обработки, указанных в п.2.8 настоящей Политики, или при наступлении иных законных оснований определяется внутренними регламентирующими документами Общества.
2.6. Защита персональных данных
2.6.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
2.6.2. Обеспечение безопасности ПДн достигается, в частности:
- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее - ИС ПДн);
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИС ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, включая:
- меры по идентификации и аутентификации субъектов доступа и объектов доступа;
- меры по управлению доступом субъектов доступа к объектам доступа;
- меры по ограничению программной среды;
- меры по регистрации событий безопасности;
- меры по антивирусной защите;
- меры по обнаружению вторжений;
- меры по контролю защищенности персональных данных;
- меры по обеспечению целостности информационной системы ПДн;
- меры по обеспечению доступности ПДн;
- меры по защите среды виртуализации;
- меры по защите технических средств;
- меры по защите ИС, ее средств, систем связи и передачи данных;
- меры по выявлению инцидентов и реагированию на них;
- меры по управлению конфигурацией ИС и системы защиты ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИС ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИС ПНд и по реагированию на компьютерные инциденты в них;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемых в ИС ПДн, а также обеспечением регистрации доступа к ПДн в ИС ПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИС ПДн;
- а также другими способами.
2.7. Правовые основания обработки персональных данных
2.7.1. Правовым основанием обработки ПДн является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку ПДн:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества.
2.7.2. Правовым основанием обработки ПДн также являются:
- Устав Общества;
- договоры, заключаемые между Обществом и субъектом ПДн;
- согласие субъектов ПДн на обработку их ПДн;
- поручение на обработку ПДн, выданное Обществу оператором ПДн.
2.8. Объем, цели и категории обрабатываемых персональных данных, категории субъектов персональных данных
2.8.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
2.8.2. Обработка ПДн в Обществе осуществляется в следующих целях:
- предоставление услуг, в том числе уточнение сведений, необходимых для оказания услуг, предусмотренных договорами.
Для данной цели обработки ПДн предусмотрены:- перечень ПДн: ФИО; дата рождения; место рождения; реквизиты документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; банковские реквизиты; номер телефона; адрес электронной почты; номер страхового полиса ОМС; номер страхового полиса ДМС; пол; СНИЛС; сведения о состоянии здоровья;
- категория ПДн: специальная категория ПДн и иная категория ПДн;
- категории субъектов: физические лица, которым предоставляются медицинские услуги;
- перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- исполнение трудового договора.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; реквизиты документа, удостоверяющего личность; пол; дата рождения; место рождения; гражданство; СНИЛС; ИНН; адрес места жительства; фактический адрес проживания; адрес регистрации по месту пребывания; дата регистрации по месту жительства; номер телефона; адрес электронной почты; платежные реквизиты для перечисления заработной платы (в том числе номер банковской карты, банковского счета); сведения о профессиональной деятельности и трудовом стаже; сведения об образовании и повышении квалификации (наименование учебного заведения, сроки обучения, номер документа, специальность, специализация, степень, ученое звание); данные воинского учета (в том числе отношение к воинской обязанности, реквизиты военного билета, воинское звание); должность, информация о прежних местах работы (в том числе о продолжительности работы на прежних местах работы и основаниях увольнения); фотография; медицинские заключения о состоянии здоровья, включая данные из медицинской книжки, данные об инвалидности, данные, содержащиеся в листках нетрудоспособности, сведения о факте обращения за оказанием медицинской помощи, иные сведения, полученные при медицинском обследовании и лечении; семейное положение, данные о составе семьи, возраст детей, контакты родственников, свидетельство о рождении ребенка, ФИО ребенка работника, дата рождения ребенка работника; данные о доходе с предыдущих мест работ, данные о налоговых вычетах; данные миграционной карты, данные патента на работу, данные договора (полиса) добровольного или обязательного медицинского страхования, разрешения на работу и документа о праве пребывания (для иностранных работников), иные ПДн, предоставляемые работниками в соответствии с требованиями трудового законодательства;
- категория ПДн: специальная категория ПДн и иная категория ПДн;
- категории субъектов: работники Общества; родственники работников Общества;
- перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- организация кадрового учета Общества, ведение кадрового делопроизводства Общества, содействие работнику в трудоустройстве, обучении и продвижении по службе, а также обеспечение личной безопасности работника, защиты жизни и здоровья работника, сохранности имущества, контроля количества и качества выполняемой работы, предоставление гарантий и льгот, предусмотренных нормативными актами, содержащими нормы трудового права, внутренними регламентирующими документами Общества, трудовым договором.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; реквизиты документа, удостоверяющего личность; пол; дата рождения; место рождения; гражданство; СНИЛС; ИНН; адрес места жительства; фактический адрес проживания; адрес регистрации по месту пребывания; дата регистрации по месту жительства; номер телефона; адрес электронной почты; платежные реквизиты для перечисления заработной платы (в том числе номер банковской карты, банковского счета); сведения о профессиональной деятельности и трудовом стаже; сведения об образовании и повышении квалификации (наименование учебного заведения, сроки обучения, номер документа, специальность, специализация, степень, ученое звание); данные воинского учета (в том числе отношение к воинской обязанности, реквизиты военного билета, воинское звание); должность, информация о прежних местах работы (в том числе о продолжительности работы на прежних местах работы и основаниях увольнения); фотография; медицинские заключения о состоянии здоровья, включая данные из медицинской книжки, данные об инвалидности, данные, содержащиеся в листках нетрудоспособности, сведения о факте обращения за оказанием медицинской помощи, иные сведения, полученные при медицинском обследовании и лечении; семейное положение, данные о составе семьи, возраст детей, контакты родственников, свидетельство о рождении ребенка, ФИО ребенка работника, дата рождения ребенка работника; сведения о составе семьи; данные о доходе с предыдущих мест работ, данные о налоговых вычетах; данные миграционной карты, данные патента на работу, данные договора (полиса) добровольного или обязательного медицинского страхования, разрешения на работу и документа о праве пребывания (для иностранных работников);
- категория ПДн: специальная категория ПДн и иная категория ПДн;
- категории субъектов: кандидаты на вакантные должности; работники Общества; родственники работников Общества;
- перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- развитие деятельности Общества и условий труда работников (в том числе для целей поиска и подбора персонала, поддержки функциональных департаментов Общества по вопросам управления персоналом, организации участия в проводимых Обществом опросах, предоставления ответов на запросы работника, направления новостных материалов работнику, для целей работы с каналами коммуникаций, поздравления работника и его детей (если применимо) с праздниками, для целей организации приобретения работником полиса добровольного медицинского страхования (при необходимости)); информирование руководителей о начислении работнику единовременных премий.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; реквизиты документа, удостоверяющего личность; пол; дата рождения; место рождения; гражданство; реквизиты страхового свидетельства обязательного пенсионного страхования; СНИЛС; ИНН; адрес места жительства; фактический адрес проживания; адрес регистрации по месту пребывания; дата регистрации по месту жительства; номер телефона; адрес электронной почты; платежные реквизиты для перечисления заработной платы (в том числе номер банковской карты, банковского счета); сведения о профессиональной деятельности и трудовом стаже; сведения об образовании и повышении квалификации (наименование учебного заведения, сроки обучения, номер документа, специальность, специализация, степень, ученое звание); данные воинского учета (в том числе отношение к воинской обязанности, реквизиты военного билета, воинское звание); должность, информация о прежних местах работы (в том числе о продолжительности работы на прежних местах работы и основаниях увольнения); фотография; медицинские заключения о состоянии здоровья, включая данные из медицинской книжки, данные об инвалидности, данные, содержащиеся в листках нетрудоспособности, сведения о факте обращения за оказанием медицинской помощи, иные сведения, полученные при медицинском обследовании и лечении; семейное положение, данные о составе семьи, возраст детей, контакты родственников, свидетельство о рождении ребенка, ФИО ребенка работника, дата рождения ребенка работника; данные о доходе с предыдущих мест работ, данные о налоговых вычетах; данные миграционной карты, данные патента на работу, данные договора (полиса) добровольного или обязательного медицинского страхования, разрешения на работу и документа о праве пребывания (для иностранных работников);
- категория ПДн: специальная категории ПДн и иная категория ПДн;
- категории субъектов: кандидаты на вакантные должности; работники Общества; родственники работников Общества;
- перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- поддержание/повышение качества, удобства и/или доступности услуг, в том числе организации электронного документооборота; информирование (распространение информации) об услугах/товарах, предлагаемых Обществом и/или его партнерами, реклама поименованных услуг/товаров, в том числе с применением методов таргетинга и профайлинга; приглашение к участию в клинических исследованиях лекарственных препаратов; приглашение к участию в маркетинговых исследованиях.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; дата рождения; место рождения; реквизиты документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; номер телефона; адрес электронной почты; номер страхового полиса; пол; СНИЛС;
- категория ПДн: иная общая категория ПДн, не отнесенная к специальной категории ПДн, либо биометрическим ПДн;
- категории субъектов: физические лица, которым предоставляются медицинские услуги;
- перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- защита прав и законных интересов Общества, обеспечение сохранности его имущества, а равно имущества третьих лиц, ограничение размера потенциальных убытков Общества, в целях досудебного урегулирования споров, представление интересов Общества в органах государственной власти и местного самоуправления, судах общей юрисдикции, арбитражных судах, третейских судах, перед иными третьими лицами, проведение юридической экспертизы документов, проектов документов, предоставляемых Обществом, составление договоров, в которых фигурирует работник, в том числе, но не ограничиваясь, трудовые договоры, договоры возмездного оказания услуг, договоры, в которых работник фигурируют как ответственное лицо.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; пол; гражданство; возраст; дата рождения; место рождения; реквизиты документа, удостоверяющего личность; адрес места жительства; адрес места регистрации по месту пребывания; фактический адрес; номер телефона (факса); адрес электронной почты;
- категория ПДн: иная категории ПДн, не отнесенная к специальной категории ПДн, либо биометрическим ПДн;
- категории субъектов: кандидаты на вакантные должности; работники Общества;
- способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- обеспечение соблюдения законов и иных нормативных правовых актов, в том числе трудового законодательства, требований к антитеррористической защищенности объектов (территорий) Общества.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; возраст; дата рождения; место рождения; реквизиты документа, удостоверяющего личность; номер телефона (факса); адрес электронной почты;
- категория ПДн: иная категории ПДн, не отнесенная к специальной категории ПДн, либо биометрическим ПДн;
- категории субъектов: кандидаты на вакантные должности; работники Общества;
- способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества;
- участие работника в различных публичных мероприятиях.
Для данной цели обработки ПДн предусмотрены:
- перечень ПДн: ФИО; дата рождения; фотография; сведения об образовании, профессиональной квалификации и опыте работы; наименование занимаемой должности; полное и/или сокращенное наименование компании-работодателя; наименование структурного подразделения; адрес электронной почты; номер телефона; адрес места работы с указанием обособленного структурного подразделения и его местонахождения;
- категория ПДн: иная категории ПДн, не отнесенная к специальной категории ПДн, либо биометрическим ПДн;
- категории субъектов: работники Общества;
- способы: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, обезличивание, блокирование, уничтожение;
- сроки обработки: до достижения целей обработки ПДн; истечение срока, предусмотренного договором или согласием субъекта ПДн на обработку его ПДн; отзыв субъектом ПДн согласия на обработку его ПДн; ликвидация Общества.
2.9. Порядок и условия обработки персональных данных
2.9.1. Перечень действий с ПДн, общее описание используемых Обществом способов обработки ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение.
2.9.2. Оператор осуществляет обработку ПДн для каждой цели их обработки следующими способами:
- неавтоматизированная обработка ПДн;
- автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, в том числе с использованием интернет-сервисов Яндекс.Метрика;
- смешанная обработка ПДн.
2.9.3. Передача ПДн третьим лицам может осуществляться только на основании договора, условием которого является обязанность обеспечения третьим лицом безопасности ПДн при их обработке (в том числе конфиденциальности ПДн), а также применения мер, предусмотренных частью 1 статьи 18.1, частью 1 статьи 19 ФЗ «О персональных данных».
2.9.4. Условия прекращения обработки ПДн:
- достижение целей обработки ПДн;
- истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн;
- обращение субъекта ПДн к Обществу с требованием о прекращении обработки ПДн;
- ликвидация Общества.
2.9.5. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
2.9.6. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.
2.10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
2.10.1. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации (исправлению) Обществом.
2.10.2. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
2.10.3. Уничтожение ПДн должно производиться способом, исключающим дальнейшую обработку этих ПДн. Материальный носитель подлежит уничтожению способом, исключающим его дальнейшее восстановление (например, разрезанием на маленькие фрагменты бумаги, подобно бумагорезательной машине-шредеру, сжиганием, дроблением (измельчением), химическим разложением, превращением в бесформенную массу, порошок, передаче на уничтожение в специализированную организацию, применением шредера). ПДн на электронных носителях уничтожаются путем стирания информации, форматирования носителя.
2.10.4. Общество обязано сообщить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Общество обеспечивает конфиденциальность ПДн, то есть не допускает их распространения без согласия субъекта ПДн или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПДн осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
3.1. Организация доступа к информации, содержащей персональные данные
3.1.1. Доступ к ПДн предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.
3.1.2. Допуск работников Общества к обработке ПДн осуществляется на основании утвержденного перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Обществе. Работник Общества допускается к обработке ПДн только в случае выполнения своих трудовых обязанностей.
3.1.3. Работник Общества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, внутренними регламентирующими документами Общества, регламентирующими обработку ПДн.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
3.2.1. Общество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Общество письменный запрос по форме, приведенной в приложении 1. Ф1-Политика обработки персональных данных «Форма запроса субъекта персональных данных на получение информации, касающейся обработки его персональных данных, и на ознакомление с персональными данными». Общество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме.
3.2.2. В соответствии с ФЗ «О персональных данных» субъект ПДн имеет право:
- потребовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку ПДн в предусмотренных действующим законодательством случаях.
4. ОТВЕТСТВЕННОСТЬ
4.1. Работники Общества, виновные в нарушении нормативных правовых актов и внутренних регламентирующих документов Общества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.