1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящий документ определяет Политику в обществе с ограниченной ответственностью «ОН ЭИР» (далее – «ОПЕРАТОР») в отношении обработки персональных данных (далее – «Политика»).
1.2. Настоящая Политика разработана на основании следующих нормативных правовых актов:
- Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. Настоящая Политика, все дополнения и изменения к ней утверждаются приказом ОПЕРАТОРА.
1.4. Политика подлежит опубликованию на официальном сайте ОПЕРАТОРА.
1.5. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемых у ОПЕРАТОРА, как с использованием средств автоматизации, так и без использования средств автоматизации.
1.6. Политика применяется ко всем работникам ОПЕРАТОРА.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Целями обработки персональных данных ОПЕРАТОРОМ являются:
- Ведение кадрового и бухгалтерского учета;
- Обеспечение соблюдения налогового законодательства РФ;
- Обеспечение соблюдения пенсионного законодательства РФ;
- Подготовка, заключение и исполнение гражданско-правового договора;
- Подбор персонала (соискателей) на вакантные должности ОПЕРАТОРА;
- Использование сайта ОПЕРАТОРА в соответствии с его функциональностью, включая заполнение форм, отправку сообщений и иные действия, совершаемые пользователем при посещении сайта;
- Контроль качества использования сайта, а также сбор статистики и осуществление прочей аналитика в отношении сайта.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Основанием обработки Персональных данных ОПЕРАТОРОМ являются следующие нормативные акты и документы:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Устав ОПЕРАТОРА;
- Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям ОПЕРАТОРА).
4. ОБЪЕМ И КАТЕГОРИИ, ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, у ОПЕРАТОРА, осуществляется обработка следующих категорий субъектов персональных данных:
Цель: Ведение кадрового и бухгалтерского учета;
Работники, Родственники работников, Уволенные работники;
Цель: Обеспечение соблюдения налогового законодательства РФ;
Работники, Уволенные работники, Контрагенты;
Цель: Обеспечение соблюдения пенсионного законодательства РФ;
Работники, Уволенные работники, Контрагенты;
Цель: Подготовка, заключение и исполнение гражданско-правового договора;
Контрагенты, Представители контрагентов, Клиенты;
Цель: Подбор персонала (соискателей) на вакантные должности ОПЕРАТОРА;
Соискатели;
Цель: Использование сайта ОПЕРАТОРА в соответствии с его функциональностью, включая заполнение форм, отправку сообщений и иные действия, совершаемые пользователем при посещении сайта;
Пользователи Сайтов;
Цель: Контроль качества использования сайта, а также сбор статистики и осуществление прочей аналитика в отношении сайта.
Пользователи Сайтов.
4.2. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, у ОПЕРАТОРА осуществляется обработка следующих перечней персональных данных:
Цель: Ведение кадрового и бухгалтерского учета;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности; сведения о воинском учете; сведения об образовании;
Цель: Обеспечение соблюдения налогового законодательства РФ;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; доходы; адрес электронной почты; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; номер расчетного счета;
Цель: Обеспечение соблюдения пенсионного законодательства РФ;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; доходы; СНИЛС; ИНН; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
Цель: Подготовка, заключение и исполнение гражданско-правового договора;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; номер расчетного счета; должность; иные персональные данные (указывается конкретная категория); иные сведения, добровольно предоставленные субъектом персональных данных — включая информацию, содержащуюся в сообщениях, комментариях, переписке, прикреплённых файлах и устных сообщениях, если они относятся к заключению или исполнению договора, например: адрес доставки, предпочтения клиента;
Цель: Подбор персонала (соискателей) на вакантные должности ОПЕРАТОРА;
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании;
Цель: Использование сайта ОПЕРАТОРА в соответствии с его функциональностью, включая заполнение форм, отправку сообщений и иные действия, совершаемые пользователем при посещении сайта;
иные персональные данные (указывается конкретная категория); фамилия, имя, отчество; адрес электронной почты; номер телефона; иные данные, самостоятельно предоставленные лицами в адрес Оператора в рамках заполнения сведений в форме обратной связи (например, адрес местонахождения); сведения, собираемые посредством метрических программ, включая технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.)
Цель: Контроль качества использования сайта, а также сбор статистики и осуществление прочей аналитика в отношении сайта.
ФИО; Контактная информация (номер телефона, адрес электронной почты, никнеймы и ID в мессенджерах, социальных сетях и пр.); Сведения об оформленных и доставленных заказах («история заказов»), а также сведения об использовании функционала сайта (например, о приобретенных товарах, услугах); Иные данные, самостоятельно предоставленные лицами (в рамках использования сайта) – например, отзывы по приобретенным товарам (услугам); Сведения, собираемые посредством метрических программ, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.)
4.3. Для каждой цели обработки персональных данных, обрабатываемых ОПЕРАТОРОМ, приказами ОПЕРАТОРА, утверждаются объем, категории и перечни обрабатываемых персональных данных, категории субъектов персональных данных, обрабатываемых в информационных системах персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении законных оснований.
5. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. При обработке персональных данных ОПЕРАТОРОМ соблюдаются следующие принципы:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целях их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
- принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5.2. У ОПЕРАТОРА осуществляется, как автоматизированная обработка персональных данных, так и без использования средств автоматизации. Совокупность операций обработки персональных данных ОПЕРАТОРА включает:
Цель: Ведение кадрового и бухгалтерского учета;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Обеспечение соблюдения налогового законодательства РФ;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Обеспечение соблюдения пенсионного законодательства РФ;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Подготовка, заключение и исполнение гражданско-правового договора;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Подбор персонала (соискателей) на вакантные должности ОПЕРАТОРА;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Использование сайта ОПЕРАТОРА в соответствии с его функциональностью, включая заполнение форм, отправку сообщений и иные действия, совершаемые пользователем при посещении сайта;
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
Цель: Контроль качества использования сайта, а также сбор статистики и осуществление прочей аналитика в отношении сайта.
Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Удаление, Уничтожение.
5.3. При сборе персональных данных ОПЕРАТОР обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.4. Для контроля качества использования сайта, а также сбора статистики и осуществление прочей аналитика в отношении сайта ОПЕРАТОР использует сервис “Яндекс.Метрика”, предоставляемый ООО “Яндекс” (ОГРН 1027700229193, 119021, г. Москва, ул. Льва Толстого, 16). Сервис собирает данные, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.). Пользователь вправе возразить против обработки, установив расширение “Yandex Metrica Opt-out” или отключив cookie в настройках браузера.
Для использования сайта ОПЕРАТОРА в соответствии с его функциональностью, включая заполнение форм, отправку сообщений и иные действия, совершаемые пользователем при посещении сайта ОПЕРАТОР использует сервис “Яндекс.Метрика”, предоставляемый ООО “Яндекс” (ОГРН 1027700229193, 119021, г. Москва, ул. Льва Толстого, 16). Сервис собирает данные, в том числе технические сведения о пользовательских устройствах и идентификаторы (cookies, геолокация устройства, метаданные и пр.). Пользователь вправе возразить против обработки, установив расширение “Yandex Metrica Opt-out” или отключив cookie в настройках браузера.
5.5. В случаях, когда ОПЕРАТОР поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ОПЕРАТОР.
5.6. Прекращение обработки персональных данных осуществляется при достижении целей обработки персональных данных, истечение срока действия согласия на обработку персональных данных или отзыв согласия пользователем, а также выявление неправомерной обработки персональных данных, прекращение деятельности.
5.7. Трансграничная передача персональных данных ОПЕРАТОРОМ не осуществляется.
5.8. ОПЕРАТОР обеспечивает конфиденциальность персональных данных. Работники ОПЕРАТОРА, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.9. У ОПЕРАТОРА допускается обработка общедоступных персональных данных.
5.10. Обработка персональных данных осуществляется ОПЕРАТОРОМ с соблюдением следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на ОПЕРАТОРА функций, полномочий и обязанностей.
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
6. РЕАЛИЗАЦИЯ МЕР ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. ОПЕРАТОР принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам ОПЕРАТОРА относятся:
1) назначено лицо, ответственное за организацию обработки персональных данных;
2) изданы документы, определяющие политику ОПЕРАТОРА в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
3) обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам ОПЕРАТОРА;
5) обеспечено проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
6) работники, непосредственно осуществляющих обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику ОПЕРАТОРА в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проведено обучение указанных работников. Средства обеспечения безопасности: определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, применяются модели актуальных угроз и выполняются меры по их нейтрализации, обеспечен учет машинных носителей персональных данных, осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.
6.2. ОПЕРАТОР в установленном порядке обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.