Политика конфиденциальности и обработки персональных данных в ООО «БелИнтерФлоу»

1.Общие положения

1.1. Настоящая Политика в отношении защиты и обработки персональных данных (далее –«Политика») субъектов персональных данных в Обществе с ограниченной ответственностью «БелИнтерФлоу» разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ РФ «О персональных данных» (далее – «Федеральный закон о персональных данных») в целях регулирования отношений, связанных с защитой и обработкой персональных данных Обществом с ограниченной ответственностью «БелИнтерФлоу» (далее– «Оператор»), обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. В целях исполнения требований ч. 2 ст. 18.1 Федерального закона о персональных данных настоящая Политика (включая все изменения и дополненияx ней) подлежит размещению в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Оператора https://www.belinterflow.com/.
1.3.Оператор обязан публиковать или иным образом обеспечивать неограниченный доступ к настоящейПолитике защиты и обработки персональных данных в соответствии с требованиями Федерального закона о персональных данных.
1.4. Настоящая Политика вступает в силу с момента утверждения и действуетбессрочно до принятияновой Политики. Все изменения и дополненияк настоящей Политике должны быть утверждены Генеральным директором Оператора.


2. Основные термины и сокращения

2.1. В целях эффективного применения настоящей Политики используются следующие основные термины и сокращения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощьюсредств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных(за исключением случаев, если обработка необходима для уточнения персональных данных).
Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных,несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
Запись персональных данных– действия по фиксированию персональных данных на материальных носителях как с помощью автоматизированных средств, так и без средствавтоматизации.
Извлечение персональных данных – действияпо переносу всего содержанияинформационной системы персональных данных (базы данных с персональными данными) или ее определенной части на другой информационный носитель с использованием любых технических автоматизированных средств и в любой форме.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств вычислительной техники.
Обработка персональных данных – любое действие(операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации (автоматизированная обработка персональных данных), без использования средств автоматизации (неавтоматизированная обработка персональных данных) или в виде смешанной обработки.
Обработка персональных данных включает в себя следующие действия:
- Сбор;
- Запись;
- Систематизация;
- Накопление;
- Хранение;
- Уточнение (обновление, изменение);
- Извлечение;
- Использование;
- Передача (распространение, предоставление, доступ);
- Обезличивание;
- Блокирование;
- Удаление;
- Уничтожение.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В соответствии с настоящей политикой Оператором является юридическое лицо РФ - Общество с ограниченной ответственностью «БелИнтерФлоу» (ОГРН 1117746359147 от 05.05.2011, ИНН 7701917849, адрес регистрации: 121087, г. Москва, ул. Береговой проезд, д. 5А, коп.1, этаж 8).
Пользователь сайта – субъект персональных данных, использующий сайт Оператора в информационно-телекоммуникационную сеть «Интернет» с предоставлением и (или) отправлением по собственному согласию Оператору соответствующих персональных данных, необходимых для эффективного коммерческого взаимодействия с Оператором, трудоустройством, обучением, оформлением заказов или услуг Оператора.
Персональные данные – любая информация, относящаяся к прямо или косвенноопределенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные субъектаперсональных данных,доступ неограниченного круга лиц к которымпредоставлен субъектом персональных данных путем дачи согласия на обработкуперсональных данных, разрешенных субъектом персональных данныхдля распространения в порядке, предусмотренном настоящимФедеральным законом.
Предоставление персональных данных – действия, направленные на раскрытиеперсональных данныхопределенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытиеперсональных данныхнеопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствахмассовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным даннымкаким-либо иным законным способом.
Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевымназначением, посредством технических средств, применяемых для связи между ЭВМ в информационно-телекоммуникационной сети «Интернет». Под Сайтом в настоящейПолитике понимается Сайт, расположенный в информационно-телекоммуникационной сети «Интернет» по адресу: https://www.belinterflow.com/ .
Сбор персональных данных– действия по получению персональных данных субъектов персональных данных в строгом соответствии с Федеральным законодательством РФ. Смешанная обработка персональных данных –обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угроза безопасности персональных данных – совокупность условий и факторов,создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных,а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данныхи (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработкев информационной системеперсональных данных.


3. Область действия

3.1. Настоящая Политика действует в отношениивсех персональных данных,которые обрабатывает Оператор.
3.2. Оператор осуществляет автоматизированную обработку, неавтоматизированную обработку (без использования средств автоматизации) и смешаннуюобработку персональных данных.
3.3. К субъектам, персональные данные которых защищаются и обрабатываются Оператором в соответствии настоящей Политикой, относятся:
- физические лица, состоящие с Оператором в трудовых отношениях;
- физические лица, расторгнувшие трудовые отношения с Оператором;
- физические лица, являющиеся кандидатами на замещение вакантных должностей (заключение трудового договора) у Оператора;
- физические лица, состоящие с Оператором в гражданско-правовых отношениях;
- физические лица, являющиеся контрагентами Оператора или уполномоченными представителями контрагентов (физические и юридические лица) Оператора на основаниизаключенных, исполненных, измененных и расторгнутых договоров с Оператором;
- физические лица, предоставившие Оператору свои персональные данные посредством использования Сайта Оператора в информационно-телекоммуникационной сети
«Интернет» на основаниипредоставления согласия Оператору на обработкуих персональных данных на Сайте Оператора, а также при использовании приложений, мессенджеров, социальных сетей, иных сервисови (или) программных приложений Оператора.
3.16. Персональные данные,обрабатываемые Оператором:
- данные, полученные при осуществлении и (или) расторжении трудовых отношений;
- данные, полученные для осуществления отбора кандидатов на замещениевакантных должностей (заключение трудового договора) у Оператора;
- данные, полученные при осуществлении гражданско-правовых отношений;
- данные, полученные при осуществлении коммерческой деятельности (заключение, исполнение, изменение, расторжение договоров с Оператором);
- данные, полученные при использовании Сайта Оператора, приложений, мессенджеров, социальных сетей, иных сервисов и (или) программных приложений Оператора.


4. Цели обработки персональных данных

4.1. Цель настоящей Политики – защита персональных данных, обрабатываемых Оператором, от несанкционированного доступа и разглашения, а также предотвращение и выявлениенарушений Федерального законодательства Российской Федерации, устранение последствий таких нарушений.
4.2. Обработка Оператором персональных данных (переченьобрабатываемых Оператором персональных данных определен в разделе7 (семь) настоящей Политики; способы, сроки их обработки, защиты и хранения, порядок уничтожения персональных данных при достижении целей их обработкиили при наступлении иных законныхоснований определены в разделе8 (восемь) настоящейПолитики) осуществляется в следующихцелях:
- обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
- осуществление коммерческой деятельности в соответствии с профилем Оператора;
- продвижение товаров, работ, услуг Оператора на рынке (при условии предварительного согласия субъекта персональных данных);
- ведение кадрового делопроизводства, организация постановки на индивидуальный (персонифицированный) учет работников Оператора в системе обязательного пенсионного (социального) страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- исполнение трудового, налогового и иного законодательства РФ, регулирующего отношения работника и Оператора как работодателя;
- содействие субъектам персональных данных в трудоустройстве у Оператора, получении образования и карьерном продвижении работников Оператора, обеспечение личной безопасности субъектов персональных данных, контроль количества и качества выполняемой работы и оказания услуг, обеспечение сохранности имущества;
- привлечение и отбор кандидатов на замещение вакантных должностей у Оператора;
- осуществление гражданско-правовых отношений: заключение, исполнение, изменение, расторжение гражданско-правовых договоров (обработка персональных данных физических лиц, являющихся или планирующих стать контрагентами Оператора, уполномоченных представителей (работников) контрагентов Оператора как физических, так и юридических лиц);
- ведение бухгалтерского учета;
- идентификация пользователей сайта Оператора, приложений, мессенджеров, социальных сетей, иных сервисов и программных приложений Оператора (обработка запросов и заявок от пользователей сайта Оператора, прочее взаимодействие с ними, выявление и устранение ошибок на сайте Оператора, в приложениях, мессенджерах, социальных сетях, прочих сервисах и программных приложениях Оператора);
- осуществление информационного взаимодействия с контрагентами, пользователями сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора при направлении им информационных, маркетинговых и рекламных сообщений;
- эффективное взаимодействие с субъектами персональных данных при получении от них заявлений, претензий, жалоб, сообщений и иных обращений, поступивших в адрес Оператора в письменной, электронной (мессенджеры, социальные сети, электронная почта), устной форме (телефонная связь) и иной форме или из иных законных источников;
- исключение несанкционированных действий сотрудников Оператора и (или) любых третьихлиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальнуювычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации пользователей сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора; защитаконституционных прав граждан на личную тайну,конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности пользователей сайтаОператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора;
- осуществление пропускного режима (обработка персональных данных посетителей офисных и иных помещений Оператора).
4.3. Обработка персональных данных субъектовперсональных данных может осуществляться исключительно в целях обеспечения соблюдения Федерального законодательства РФ и иных нормативных правовыхактов.


5. Правовое основание обработки персональных данных

5.1. Настоящая Политика в отношениизащиты и обработки Оператором персональных данных субъектовперсональных данных, действуетна основании совокупности (системы) нормативно-правовых актов, принимаемых (издаваемых) и реализуемых на территорииРоссийской Федерациии локальных документов Оператора, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ РФ «О персональных данных»;
- Федеральный закон от 27.07.2006 № 149-ФЗ РФ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 08.02.1998 № 14-ФЗ РФ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 № 402-ФЗ РФ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ РФ «Об обязательном пенсионном страховании в Российской Федерации»;
- Устав Оператора;
- Договоры, заключаемые между Оператором и субъектами персональных данных;
- Согласия субъектов персональных данных на обработку Оператором их персональных данных;
- Согласия субъектов персональных данных на обработку Оператором их персональных данных, разрешенных для распространения.


6. Принципы обработки персональных данных

6.1. Обработка персональных данных субъектов персональных данных осуществляется Оператором на основе следующих принципов:
- законность и справедливая основа;
- ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущение обработки персональных данных,несовместимой с целямисбора персональных данных;
- недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработка только тех персональных данных, которые отвечают целям их обработки;
- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
-недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- обеспечение точности, достаточностии актуальности персональных данныхпо отношению к целям обработки персональных данных;
- уничтожение (удаление) или уточнение неполных или неточных персональных данных (при обработке Оператором персональных данных пользователей сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора, исключающих или не требующих проверки достоверности полученных персональных данных, Оператор исходит из принципов достоверности, полноты и достаточности предоставленных персональных данных с последующим поддержанием их актуальности);
- уничтожение (удаление) или обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено Федеральным законом о персональных данных;
- хранение персональных данных в форме, позволяющей эффективно определить (идентифицировать) субъекта персональных данных для скорого достижения целей обработки его персональных данных и недопущения избыточного срока хранения персональных данных, по которым были достигнуты цели их обработки.

7. Объем и категории обрабатываемых персональных данных

7.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
7.1.1. Работники и бывшие работники Оператора (физические лица, состоящие с Оператором в трудовых отношениях и физические лица, расторгнувшие трудовые отношения с Оператором):
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации;
- адрес места жительства (фактического проживания);
- контактные данные, включая номер телефона и адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- платежные банковские реквизиты;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- сведения о трудовой деятельности, включая стаж, опыт, должность, размер оплаты труда, наличие поощрений, награждений и (или) дисциплинарных взысканий;
- семейное положение, наличие детей, родственные связи;
- фотографии;
- данные о заключении или расторжении брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения о социальных льготах;
- сведения об удержании алиментов, исполнительных производствах;
- сведения о доходах с предыдущего места работы;
- иные персональные данные, предоставляемые работниками или требуемые к предоставлению в соответствии с требованиями трудового, налогового и иного законодательства РФ, регулирующего отношения Оператора и работника.
7.1.2. Члены семей работников Оператора:
- фамилия, имя, отчество;
- степень родства с работником;
- год рождения;
- иные персональные данные, предоставляемые работниками или требуемые к предоставлению в соответствии с требованиями трудового, налогового и иного законодательства РФ, регулирующего отношения Оператора и работника.
7.1.3. Кандидаты на замещение вакантных должностей у Оператора (физические лица, являющиеся кандидатами на работу у Оператора):
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации;
- адрес места жительства (фактического проживания);
- контактные данные, включая номер телефона и адрес электронной почты;
- фото;
- сведения об образовании, квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, включая стаж, опыт, должность, размер оплаты труда, наличие поощрений, награждений и (или) дисциплинарных взысканий;
- сведения о службе в армии;
- сведения о фактах работы на государственной службе;
- иные персональные данные, указываемые субъектом персональных данных в резюме и сопроводительных письмах.
7.1.4. Физические лица, являющиеся или намеревающиеся стать контрагентами Оператора (физические лица, состоящие с Оператором в гражданско-правовых отношениях):
- фамилия, имя, отчество;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации;
- адрес места жительства (фактического проживания);
- контактные данные, включая номер телефона и адрес электронной почты;
- индивидуальный номер налогоплательщика (ИНН);
- основной государственный регистрационный номер (ОГРНИП) для индивидуальных предпринимателей;
- сведения о постановке физического лица на учет в качестве плетельщика налога на профессиональный доход;
- платежные банковские реквизиты;
- иные персональные данные, предоставляемые контрагентами.
7.1.5. Уполномоченные представители контрагентов (физических и юридических лиц):
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные, включая номер телефона и адрес электронной почты;
- должность и иные персональные данные, предоставляемые контрагентами и (или) уполномоченными представителями контрагентов.
7.1.6. Посетители офисных и иных помещенийОператора:
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные, включая номер телефона и адрес электронной почты.
7.1.7. Пользователи сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора:
- фамилия, имя, отчество;
- дата рождения;
адрес места жительства (фактического проживания);
- контактные данные, включая номер телефона и адрес электронной почты;
- файлы cookie (фрагменты данных, отправленные веб-сервисом и хранящиеся на электронном устройстве пользователя, применяемые для сохранения данных на стороне пользователя, используемые в качестве анонимных уникальных идентификаторов, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, хранения сведений статистики пользователя, выявления и устранения ошибок в функционировании сайта, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора);
- адрес интернет-протокола устройства пользователя;
- имя устройства пользователя;
- версия операционной системы устройства пользователя;
- конфигурация приложения при использовании сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора;
- время и дата использования сайтов, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора и другие статистические данные их использования;
- иные персональные данные, предоставляемые пользователями сайтов, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора.
7.2. Обработка Оператором биометрических данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основаниикоторых можно установить его личность) осуществляется в строгом соответствии с законодательством РФ.
7.3. Оператором не осуществляется обработка специальных категорий персональных данных,которые касаются расовой, национальной принадлежностей, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Федеральным законодательством РФ.


8.Порядок и условия обработки и хранение персональных данных

8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями Федерального законодательства Российской Федерации.
8.2. Обработка персональных данных осуществляется с согласиясубъектов персональных данныхна обработку их персональных данных, а также без таковогов случаях, предусмотренных Федеральным законодательством Российской Федерации. Согласие субъекта персональных данных на обработкуего персональных данных должно быть предметным, конкретным, сознательным и однозначным. Согласие субъектаперсональных данныхна обработку его персональных данных может быть отозвано субъектом персональных данных.
8.3. Согласие на обработкуперсональных данных,разрешенных субъектом персональных данныхдля распространения, оформляется отдельно от иных согласий субъекта персональных данныхна обработку его персональных данных.
8.4. Согласие на обработкуперсональных данных,разрешенных субъектом персональных данныхдля распространения, может быть предоставлено Оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
8.5. Оператор осуществляет автоматизированную, неавтоматизированную обработку и смешаннуюобработку персональных данных.
8.6. К обработке персональных данных допускаются соответствующие уполномоченные работники Оператора, в должностные обязанности которых входит обработка соответствующих категорий персональных данных.Список уполномоченных работников Оператора утверждается генеральным директором Оператора. Уполномоченные работники Оператора, осуществляющие обработку персональных данных, должны быть ознакомлены с положениями Федерального законодательства РФ о персональных данных, локальными документами Оператора по вопросам обработки, защиты, храненияи уничтожения персональных данных.
8.7. В целях безопасности обработки и защиты персональных данных,уполномоченным работникам Оператора, осуществляющим обработку персональных данных в информационных системах персональных данных Оператора, предоставляются уникальные индивидуальные логины и пароли для доступав соответствующие информационные системы персональных данныхОператора.
8.8. Оператор обеспечивает защиту своих информационных система персональных данных в соответствии с требованиями Федерального законодательства РФ.
8.9. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной, письменной и иной возможной форме непосредственно от субъекта персональных данных и (или) его уполномоченного представителя;
- получения персональных данных из общедоступных источников;
- получения персональных данных из иных доступных источников.
8.10. Оператор принимает необходимые правовые, организационные и технические меры для защитыперсональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организовывает учет документов, содержащих персональные данные;
- организовывает работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организовывает обучение работников Оператора, осуществляющих обработку персональных данных.
8.11. Персональные данные субъектов персональных данных,содержащиеся на машинныхносителях персональных данных, хранятсяна автоматизированных рабочих местах и серверахинформационных систем персональных данных Оператора, установленных в пределахпомещений, утвержденных локальными актами Оператора об обеспечении безопасности (защиты)помещений, в которых размещены информационные системы персональных данныхи материальные носители персональных данных.
8.12. Персональные данные субъектов персональных данных могут быть получены,проходить дальнейшую обработку и передаваться на хранение как на бумажныхносителях, так и в электронном виде.
8.13. Персональные данные субъектов персональных данных, содержащиеся на материальных носителях персональных данных, хранятсяв пределах помещений, утвержденных локальными актами Оператора об обеспечении безопасности (защиты) помещений, в которыхразмещены информационные системы персональных данныхи материальных носителейперсональных данных.
8.14. Персональные данные, зафиксированные на бумажныхносителях, хранятся в запираемых шкафах с ограниченным правом доступа в пределахпомещений, утвержденных локальными актами Оператора об обеспечении безопасности (защиты) помещений, в которых размещены информационные системы персональных данных и материальных носителей персональных данных.
8.15. При сборе персональных данных, в том числе с использованием информационно- телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение персональных данных с использованием автоматизированных баз данных,находящихся на территорииРоссийской Федерации, за исключением случаев, предусмотренных Федеральным законодательством РФ.
8.16. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъектаперсональных данных, если иное не предусмотрено Федеральным законодательством РФ.
8.17. Передача персональных данных органам дознания и следствия,в Федеральную налоговуюслужбу, Социальный фонд РФ и другие уполномоченные органы исполнительной власти и организации осуществляется Оператором в соответствии с требованиями Федерального законодательства Российской Федерации.
8.18. Сроки обработки и хранения персональных данных субъектов персональных данных определяются целями обработки персональных данных:
- для целей кадрового делопроизводства, трудовых отношений, постановки работников на индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования, заполнения и передачи в органы исполнительной власти и иные уполномоченные органы и организации требуемых форм отчетности, исполнения трудового, налогового и иного законодательства РФ, регулирующего отношения работодателя и работника – в течение срока, установленного действующим Федеральным законодательством РФ;
- для целей привлечения и отборка кандидатов на замещение вакантных должностей у Оператора – в течение срока, указанного в согласии на обработку персональных данных, но не более 1 (одного) календарного года;
- для целей осуществления гражданско-правовых отношений (заключение, исполнение, изменение, расторжение гражданско-правовых договоров) – в течение срока, необходимого для принятия решения о заключении договора, но не более 1 (одного) календарного года, а в случае заключения договора – в течение срока действия договора и 5 (пяти) лет по окончании срока его действия;
- для целей осуществления пропускного режима – в течение 1 (одного) календарного года с даты помещения офисных и иных помещений Оператора;
- для целей идентификации пользователей сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора, обработки запросов, заявок от них, прочего взаимодействия с ними, выявления и устранения ошибок на сайте Оператора, в приложениях, мессенджерах, социальных сетях, прочих сервисах и программных приложениях Оператора – в течение срока действия согласия на обработку персональных данных, а если такой срок не установления, то не более 1 (одного) календарного года с даты посещения соответствующих информационных ресурсов Оператора;
- для целей осуществления информационного и (или) коммерческого взаимодействия с контрагентами, пользователями сайта Оператора, приложений, мессенджеров, социальных сетей, прочих сервисов и программных приложений Оператора посредством направления им информационных, коммерческих, маркетинговых и рекламных сообщений – в течение срока действия согласия субъектов персональных данных на обработку их персональных данных;
- для целей проведения мероприятий по урегулированию заявлений, жалоб, претензий, сообщений и иных обращений субъектов персональных данных, поступивших от них или оставленных ими в письменной, устной форме, по телефонной и (или) электронной связи посредством использования электронных сообщений в мессенджерах, социальных сетях и (или) иной форме в иных возможных источниках и сервисах – в течение срока, необходимого для урегулирования соответствующих обращений субъектов персональных данных, но не более 3 (трех) лет.
8.19. Персональные данные, срок обработки которых истек, цели обработки которых достигнуты, а также в случае получения от субъекта персональных данных отзыва егосогласия на обработкуОператором персональных данных и (или) в иных случаях, установленных действующим Федеральным законодательством РФ, подлежат уничтожению Оператором.
8.20. Уничтожение персональных данных субъектов персональных данных осуществляется ответственным за организацию обработки персональных данных у Оператора или иными уполномоченными работниками Оператора, ответственными за уничтожение персональных данных.
8.21. Бумажные носители (документы) персональных данных подлежатуничтожению путем разрезания, сжигания (сожжения), дробления (размельчения, измельчения), химического разложения, превращения в бесформенную массу или порошок, использования иных способовмеханического уничтожения. Для уничтожения бумажных документов допускается применение шредера (автоматизированное техническое устройство для измельчения бумажных носителей).
8.22. Персональные данные, хранящиеся на электронных носителях, подлежат уничтожению путем цифрового стирания (удаления) с электронных носителей или форматирования цифровой системы электронного носителя.
8.23. Факт уничтожения персональных данных подтверждается путем документального оформления акта об уничтожении носителя и (или) персональных данных.


9. Основные права субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение информации (далее –«Запрашиваемая субъектом информация»), касающейся обработки его персональных данных (включая подтверждение факта обработки персональных данныхОператором, правовые основания и цели обработкиперсональных данных, цели и применяемые Оператором способы обработки персональных данных, наименование и место нахожденияОператора, сроки обработки персональных данных, в том числе сроки их хранения), за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ РФ «О персональных данных».
9.2. Субъект персональных данных вправе требоватьот Оператора уточнения его персональных данных,их блокирования или уничтожения в случае,если персональные данныесубъекта персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являютсянеобходимыми для заявленной Оператором цели их обработки, а также принимать предусмотренные законодательством РФ иные меры по защите своих прав.
9.3. В случае если запрашиваемая субъектом персональных данных информация, а также обрабатываемые Оператором персональные данные, были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться к Оператору или направить повторный запрос в целях получения запрашиваемой субъектом персональных данных информации, и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней (далее – «Нормированный срок запроса») после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен действующим Федеральным законодательством РФ, принятым в соответствии с ним нормативными правовыми актами или договором, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных.
9.4. Субъект персональных данных вправе обратитьсяповторно к Операторуили направить повторный запрос в целях получения запрашиваемой субъектом персональных данных информации, а также в целях ознакомления с обрабатываемыми Оператором персональными данными до истечения нормированного срока запроса в случае,если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения субъекта персональных данных.Повторный запрос должен содержать обоснование направления повторного запроса субъекта персональных данных.
9.5. Запросы субъекта персональных данных должны содержать следующие данные:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его уполномоченного представителя.
9.5. Если в обращении(запросе) субъектаперсональных данных не отраженыв соответствии с требованиями Федерального закона оперсональных данных все необходимые сведения или субъект персональных данных не обладает правамидоступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъектаперсональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушаетправа и законныеинтересы третьих лиц.
9.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защитеправ субъектов персональных данных или в судебном порядке.
9.6. Субъектперсональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебномпорядке. Субъект персональных данных вправе воспользоваться иными правами,предусмотренными действующим Федеральным законодательством РФ.


10. Обязанности оператора

10.1. Оператор сообщает в установленном Федеральным законодательством РФ порядкесубъекту персональных данных или его уполномоченному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных
данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъектаперсональных данных или его уполномоченного представителя, либо в течение 30 (тридцати) дней с даты получения запроса субъектаперсональных данныхили его уполномоченного представителя.
10.2. Если предоставление персональных данных является обязательным в соответствии с действующим Федеральным законодательством РФ, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
10.3. При предоставлении субъектом персональных данных сведений,подтверждающих, что персональные данные являютсянеполными, неточными или неактуальными, Оператор в течение 7 (семь)рабочих дней вносит в них необходимые изменения (корректировки). При предоставлении субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконнополученными или не являются необходимыми для заявленной цели обработки, Оператор в течение 7 (семь) рабочих дней производит уничтожение (удаление) персональных данных субъекта персональных данных. Операторуведомляет субъекта персональных данных о внесенных изменениях и предпринятых мерах.
10.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (три) рабочихдней с даты выявления неправомерной обработки персональных данных,прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручениюОператора. В случае, если обеспечить правомерность обработки персональных данныхневозможно, Оператор, в срок, не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки персональных данных, производит уничтожение (удаление) персональных данных субъекта персональных данных. Операторуведомляет субъектаперсональных данных или его уполномоченного представителя об устранении допущенных нарушений или об уничтожении персональных данных субъекта персональных данных.
10.5. В случае достижения цели обработки персональных данных Оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручениюОператор) и уничтожаетперсональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцать) дней с даты достижения цели обработки персональных
данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому,является субъект персональных данных, иным соглашением между Оператором и субъектомперсональных данных, либо, если Операторне вправе осуществлять обработку персональных данных без согласиясубъекта персональных данных на основаниях, предусмотренных Федеральным законодательством РФ.
10.6. В случае отзыва субъектом персональных данных согласияна обработку его персональных данных Операторпрекращает их обработкуили обеспечивает прекращение такой обработки (если обработка персональных данныхосуществляется другим лицом, действующим по поручению Оператора) и в случае, если дальнейшая обработка персональных данныхне должная осуществляться в соответствии с требованиями действующего Федерального законодательства РФ (независимо от наличиясогласия субъекта персональных данных), уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцать) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектомперсональных данных.
10.7. При изменении субъектом персональных данных своих персональных данных, Оператор хранит изменённую или удаленную информацию в срок, установленный Федеральным законодательством РФ, и передаеттакую информацию третьимлицам в соответствии с Федеральным законодательством РФ.
10.8. Оператор принимает все необходимые и достаточные меры для выполнения своих обязанностей в полном объеме:
- назначение ответственного за организацию обработки и защиты персональных данных;
- издание политики, локальных актов по вопросам обработки и защиты персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений Федерального законодательства РФ, устранение последствий подобных нарушений;
- применение правовых, организационных и технических мер по обеспечению защиты и безопасности персональных данных, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных Политике, локальным актам Оператора;
- ознакомление работников Оператора, непосредственного осуществляющих обработку персональных данных, с положениями Федерального законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
10.9. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Оператора, включая информирование Федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.


11. Меры по обеспечению безопасности при обработке персональных данных

11.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защитыперсональных данных(система защитыперсональных данных,состоящая из подсистемправовой, организационной и технической защиты) от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно- распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
11.3. Подсистема организационной защиты включаетв себя организацию структуры управления системой защитыперсональных данных, разрешительной системы, защитыинформации при работе с работниками, контрагентами и сторонними лицами.
11.4. Подсистема технической защиты включаетв себя комплекстехнических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
11.5. Обеспечение безопасности персональных данных достигается за счет следующих мер:
- определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применение средств защиты информации;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по устранению нарушений;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- установление индивидуальных паролей доступа работников в информационную систему персональных данных в соответствии с их трудовыми обязанностями;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
- назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите персональных данных;
- использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
- регулярное обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, действующим положениям Федерального законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом РФ по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона о персональных данных, соотношениеуказанного вреда и принимаемыхОператором мер, направленных на обеспечение выполненияобязанностей, предусмотренных Федеральным законом о персональных данных;
-осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону о персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.


12. Ответственность оператора

12.1. Ответственность за нарушение требований Федерального законодательства Российской Федерации и локально-нормативных документов Оператора в области персональных данных определяется в соответствии с действующим Федеральным законодательством Российской Федерации.
12.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки и защиты персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с Федеральным законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных убытков.