Политика в отношении обработки персональных данных

1. Термины и определения

1.1. Настоящая Политика использует специальные понятия, значение которые определяются в порядке, указанном ниже. Иные термины и определения, не нашедшие отражения в настоящем Положении, будут толковаться сторонами исходя из действующего законодательства, если исходя из смысла Положения им не присвоено иное значение:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные;
• оператор персональных данных (оператор) – самостоятельно организует и/или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• специальные категории персональных данных – данные касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические персональные данные;
• Cookies – текстовые файлы небольшого размера, которые сохраняются в памяти устройства пользователя при посещении сайта и содержат фрагменты информации, необходимые для его функционирования (например, настройки сессии, данные авторизации), сбора статистики или персонализации контента. Некоторые cookies могут включать персональные данные, такие как IP-адрес или уникальные идентификаторы.

2. Общие положения

2.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в Обществе является одной из приоритетных задач компании. Обработка персональных данных осуществляется в соответствии c требованиями законодательства: Гражданским кодексом РФ; Трудовым кодексом РФ; ФЗ РФ от «27» июля 2006 г. №152-ФЗ «О персональных данных»; ФЗ РФ от «27» июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

2.2. Для этих целей в Обществе приняты организационно-распорядительные документы, обязательные к исполнению всеми сотрудниками Общества, допущенными к обработке персональных данных.

2.3. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с внутренними локальными актами Общества.

2.4. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных лиц чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.5. Общество обеспечивает сбор персональных данных и их обработку с использованием баз данных, находящихся на территории Российской Федерации.

2.6. Примечание: Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в Обществе, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субъектам персональных данных.

3. Понятие и состав персональных данных

3.1. Сведениями, составляющими персональные данные, является переданная субъектом персональных данных информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.

3.2. Согласие субъекта персональных данных на обработку его данных и принятие условий настоящей Политики считаются полученными с момента совершения любого из следующих действий, включая но не ограничиваясь: регистрации в информационных системах Общества; заключения договора (включая акцепт оферты) или совершения конклюдентных действий, подтверждающих согласие; заполнения веб-форм с персональными данными; направления информации через электронную почту, онлайн-консультант, сервис обратного звонка или прикрепления файлов; личного предоставления данных (устно/письменно) или передачи через уполномоченного представителя; направления резюме при трудоустройстве; фактического начала использования услуг Общества. Данные положения соответствуют ст. 9 ФЗ-152, ст. 438 ГК РФ и разъяснениям Роскомнадзора, при этом для специальных категорий данных требуется отдельное письменное согласие, а за субъектом сохраняется право отзыва согласия в любое время. Все факты предоставления данных фиксируются с указанием даты и времени, что подтверждает добровольность и осознанность согласия.

3.3. В случае несогласия с условиями настоящей Политики субъект персональных данных обязан незамедлительно прекратить пользоваться услугами Общества в его части или в полном объеме, отказаться от представления данных, при этом отказ от предоставления данных может повлечь за собой невозможность оказания услуг Обществом субъекту персональных данных, в таком случае Общество не несет ответственности за возможное нарушение своих обязательств, а, равно, невозможность достижения, ожидаемого результата субъектом персональных данных.

3.4. Общество не контролирует и не несет ответственность за сайты третьих лиц, на которые субъект персональных данных может перейти по ссылкам, доступным на сайте Общества.

3.5. Субъект персональных данных несет личную ответственность за полноту и достоверность предоставляемых им данных. В случае наличия несоответствий и/или некорректности в предоставленных данных, они должны быть изменены, в том числе путем обращения в письменном виде к Обществу, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.

4. Цели сбора персональных данных и сроки обработки

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, установленных локально – нормативными актами Общества для каждой категории субъектов персональных данных в соответствии с определенной услугой оказываемой Обществом, также Общество не обрабатывает персональные данные, несовместимые с целями сбора персональных данных установленных локально – нормативными актами Общества, не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.2. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки, а в необходимых случаях принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.

4.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не устанавливаются Законом, договором, стороной которого является выгодоприобретатель или поручитель субъекта персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

4.4. Если в резюме не указано иное, в целях трудоустройства субъект персональных данных дает согласие на включение его в кадровый резерв Общества. В этом случае персональные данные могут обрабатываться до момента трудоустройства или заявления субъекта персональных данных об исключении из кадрового резерва.

4.5. Цели обработки персональных данных определяются в строгом соответствии с требованиями законодательства РФ и могут включать: исполнение договорных обязательств (когда субъект персональных данных является стороной, выгодоприобретателем или поручителем), соблюдение нормативно-правовых требований, а также реализацию законных интересов оператора, при этом обработка осуществляется исключительно для конкретных, заранее определенных целей (полный перечень приведен в Приложении №1 к настоящей Политике), на основании либо полученного согласия субъекта, либо прямого указания закона, а сроки хранения данных ограничиваются периодом, необходимым для достижения указанных целей, если иное не предусмотрено федеральным законодательством, при этом использование данных в иных целях или за пределами установленных сроков не допускается без дополнительного правового основания.

4.6. Общество не собирает, не обрабатывает специальные категории персональных данных.

4.7. Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

5. Права и обязанности

5.1. Общества как оператор персональных данных в праве:

• 5.1.1. отстаивать свои интересы в суде;
• 5.1.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• 5.1.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• 5.1.4. использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

5.2. Общество как оператор персональных данных обязан:

• 5.2.1. обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено Законом;
• 5.2.2. внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
• 5.2.3. выполнять требования законодательства Российской Федерации.

5.3. Субъект персональных данных имеет право:

• 5.3.1. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• 5.3.2. требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
• 5.3.3. получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• 5.3.4. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• 5.3.5. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

5.4. Если на сайте Общества, его сервисах не предусмотрены автоматизированные формы на удаление, внесение изменений в персональные данные, отзыв согласия, то такие права субъект персональных данных реализует в порядке, указанном в разделе 11 настоящей Политики.

5.5. Субъект персональных данных обязан:

• 5.5.1. передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
• 5.5.2. в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить Обществу уточненные персональные данные и подтвердить изменения оригиналами документов;
• 5.5.3. выполнять требования законодательства Российской Федерации.

6. Состав персональных данных

6.1. Общество может обрабатывать персональные данные с использованием или без использования средств автоматизации, полный состав приведен в Приложении №1 к настоящей Политике.

6.2. В целях оценки субъекта персональных данных при трудоустройстве могут обрабатываться персональные данные, полный перечень приведен в Приложении №1 к настоящей Политике. Состав обрабатываемых данных определяется исходя из объема сведений, необходимых для оценки соответствия субъекта персональных данных должности, на которую он претендует.

6.3. Общество может также собирать данные, связанные с IP-адресом, статистическую информацию о совершенных действиях при использовании Услуг Общества, уникальные идентификаторы, автоматически генерируемые при использовании услуг, язык, территорией, с которой осуществляется доступ к Услугам, а также иные сведения которые автоматически передаются в процессе использования Сервисов Пользователем: IP адрес; индивидуальный сетевой номер устройства (MAC-адрес, ID устройства), электронный серийный номер (IMEI, MEID), рекламные идентификаторы (GAID, IDFA, OAID и иные); дата и время доступа Пользователя к Сервисам; информация cookies; информация о браузере Пользователя; реферер (адрес предыдущей страницы).

6.4. Обществом могут собираться иные персональные данные, если их наличие необходимо для оказания услуг субъекту персональных данных и для выполнения требований законодательства Российской Федерации в области защиты персональных данных.

6.5. Общество использует на своем сайте временные (сессионные) и постоянные cookies. Временные файлы отличаются тем, что удаляются после закрытия веб-браузера, в то время как постоянные файлы остаются в памяти компьютера до того момента, когда они будут удалены вручную или до того момента, как истечет срок их хранения. Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или для устранения различных ошибок или багов, которые могут периодически возникать. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим, в частности, на сайте Общества могут использоваться следующие cookies:

• Технические cookies – эти файлы необходимы для работы веб-сайтов и онлайн-сервисов Общества, а без них они не могут надлежащим образом функционировать. Такие cookies позволяют пользователям перемещаться по таким сайтам и сервисам, просматривать их различные разделы, заполнять формы и изменять состояние чекбоксов;
• Аналитические cookies – эти файлы собирают информацию о том, как часто пользователи посещают веб-сайты и онлайн-сервисы Общества, какие разделы просматривают, на какие ссылки нажимают и как в целом перемещаются по таким сайтам и сервисам;
• Маркетинговые cookies – эти файлы собирают информацию о действиях, совершаемых пользователями как на веб-сайтах и в онлайн-сервисах Общества, так и на сайтах третьих лиц, чтобы показывать более актуальную для пользователей рекламу, оценивать эффективность такой рекламы и ограничивать количество рекламных показов для таких пользователей на сайтах и в сервисах Общества.

6.6. Субъект персональных данных может изменить настройки своего веб-браузера таким образом, чтобы уже сохраненные cookies были удалены, а новые cookies не сохранялись (подробная информация об этом содержится, как правило, в руководстве по использованию каждого конкретного веб-браузера).

6.7. В случае удаления cookies и/или настройки веб-браузера таким образом, чтобы новые cookies не сохранялись, некоторые или все возможности сайта и услуг могут быть недоступными. В последнем случае Общество не несет ответственность за невозможность использования его Услуг и/или невозможность их оказания.

7. Обеспечение безопасности персональных данных

7.1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. Общество реализует комплексную систему защиты персональных данных, включающую:

• (1) организационные меры – назначение ответственного за обработку ПДн и администратора безопасности ИСПДн, разработку нормативных документов (Политики обработки, Положения о защите ПДн) и плана внутренних проверок;
• (2) технические меры – создание модели угроз, разработку системы защиты информации в соответствии с требованиями ФСТЭК и ФСБ, внедрение средств контроля доступа и регулярную оценку эффективности защиты;
• (3) кадровые меры – проведение инструктажей для сотрудников, подписание соглашений о неразглашении и ознакомление с регламентами под роспись;
• (4) процедуры реагирования – регламентированный порядок устранения последствий нарушений с фиксацией инцидентов, расследованием и уведомлением регуляторов при необходимости.

Все меры соответствуют требованиям 152-ФЗ, приказам ФСТЭК, а также внутренним стандартам Общества, обеспечивая непрерывное совершенствование системы защиты через ежегодный пересмотр модели угроз, актуализацию документов и мониторинг законодательных изменений.

8. Обработка персональных данных

8.1. Обработка персональных данных осуществляется Обществом только при наличии законных оснований, включая согласие субъекта, и может проводиться тремя способами:

• (1) автоматизированным – с использованием программного обеспечения и информационных систем;
• (2) смешанным – сочетающим автоматизированные и неавтоматизированные методы;
• (3) неавтоматизированным – с фиксацией на материальных носителях, которые хранятся в специально оборудованных помещениях с ограниченным доступом и обязательным ведением журнала учета.

Для каждой цели обработки, указанной в Приложении №1 к настоящей Политике, устанавливаются конкретные способы обработки, технические средства, перечень ответственных лиц и сроки хранения, при этом все процессы обработки вне зависимости от способа осуществляются в строгом соответствии с Федеральным законом №152-ФЗ, внутренними регламентами Общества и отраслевыми стандартами безопасности, включая регулярный мониторинг систем защиты и проведение аудитов информационной безопасности.

8.2. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъекта, третьей стороне без согласия субъекта персональных данных, за исключением случаев, установленных действующим законодательством РФ в области защиты персональных данных (по запросу уполномоченного органа).

8.3. Персональные данные могут быть переданы поставщику услуг Общества в объеме, необходимом для оказания услуг Обществу и/или субъекту персональных данных без согласия субъекта персональных данных. Такие поставщики услуг будут использовать персональные данные только в соответствии с инструкциями Общества и в указанных в настоящей Политике целях.

8.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия в случаях, предусмотренных действующим законодательством.

8.5. В случае, если персональные данные, а равно документы их содержащие, предоставляются/хранятся в письменной форме, уничтожение производится способом, исключающим возможность восстановления их текста.

8.6. Общество может комбинировать (сращивать) и использовать скомбинированные данные с другой информацией для обеспечения, управления и развития услуг.

8.7. В случае заключения Обществом договора цессии, соглашения о передаче прав и обязанностей по договору, стороной по которому является субъект персональных данных, а также в случае реорганизации, Общество в необходимом объеме передает персональные данные субъекта персональных данных новой стороне по договору или новому правообладателю (правопреемнику) для целей дальнейшего исполнения обязательств перед субъекта персональных данных. Принимая настоящую Политику субъект персональных данных предоставляет Обществу согласие на такую передачу.

9. Конфиденциальность персональных данных

9.1. Информация, относящаяся к персональным данным, является конфиденциальной. Общество до предоставления доступа к персональным данным лиц, производящим их обработку, обеспечивает подписание обязательства о неразглашении конфиденциальной информации, предупреждает об установленной ответственности в области защиты персональных данных.

10. Опубликование политики

10.1. Для обеспечения неограниченного доступа к Политике ее текст подлежит размещению на официальном сайте Общества.

10.2. Общество вправе в любое время в одностороннем порядке вносить изменения к настоящей Политике. Все изменения вступают в силу с даты, указанной в таких изменениях, а в отсутствие указания – через 10 дней с момента размещения на официальном сайте Общества.

10.3. Субъект персональных данных самостоятельно принимает необходимые и достаточные меры для ознакомления с изменениями к настоящей Политике, для чего не реже одного раза в месяц знакомится с изменениями и/или иной информацией.

10.4. Общество не производит дополнительного информирования, уведомление о внесении изменений в Политику, кроме размещения на официальном сайте.

11. Заключительные положения

11.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

11.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Общества.

11.3. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.

11.4. Любые обращения субъекта персональных данных подлежат направлению в адрес Общества в письменной форме: Общество с ограниченной ответственностью «ИТМС», Адрес: 614066, г. Пермь, ул. Стахановская, д. 54, лит. П, офис 305 и/или с помощью электронной почты info@tehzor.ru. В случае направления обращений представителем субъекта персональных данных, обязательному представления подлежит копия документа, подтверждающего его полномочия.

11.5. Все направляемые копии документов должны быть удостоверены в порядке, определенном ГОСТ Р 6.30-2003, а с 01.07.2018 – ГОСТ Р 7.0.97-2016 (Отметка о заверении копии проставляется под реквизитом "подпись" и включает: слово "Верно"; наименование лица, заверившего копию; его собственноручную подпись; расшифровку подписи (инициалы, фамилию); дату заверения копии).