ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее — Данные), которые ООО «ВИАН-МОНТАЖ ПЛЮС» (далее — Оператор) может получить от субъекта персональных данных.
1.2. Субъектами персональных данных, обработка которых осуществляется ООО «ВИАН-МОНТАЖ ПЛЮС», являются:
представители контрагентов (клиентов — юридических лиц и индивидуальных предпринимателей);
клиенты — физические лица (потребители, посетители сайта).
кандидаты на вакантные должности (трудоустройство);
работники;
1.3. Цели обработки персональных данных:
кандидатов на вакантные должности (трудоустройство) — подбор и найм персонала; принятие решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии;
работников — соблюдение трудового, налогового и пенсионного законодательства Российской Федерации; организация учета персонала для обеспечения соблюдения законов и иных нормативных правовых актов, содействие в обучении, пользовании различного вида льготами в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами РФ, в частности: Федеральным законом от 1.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»; оформление доверенностей (в том числе для представления интересов Оператора перед третьими лицами); обеспечение сохранности имущества; расчет и начисление заработной платы;
представителей контрагентов (клиентов — юридических лиц) — рассмотрение возможностей дальнейшего сотрудничества; заключение и исполнение договоров, сторонами которых являются контрагент и ООО «ВИАН-МОНТАЖ ПЛЮС», а также исполнение требований законодательства РФ; клиентов — физических лиц (потребителей, посетителей сайта) — предоставление необходимых сведений о деятельности ООО «ВИАН-МОНТАЖ ПЛЮС», информирование о товарах и услугах, предоставляемых ООО «ВИАН-МОНТАЖ ПЛЮС», в том числе при помощи информационно коммуникационной сети Интернет, осведомленность посетителей сайта об акциях, скидках и услугах сайта; проведение маркетинговых исследований, оказание сервисных услуг; исполнение договоров, в том числе, заключенных дистанционным способом, возмездного оказания услуг; учет оказанных потребителям услуг для осуществления взаиморасчетов; доставка заказанного товара клиенту, совершившему заказ, возврат товара; исполнение требований законодательства РФ;
1.4. ООО «ВИАН-МОНТАЖ ПЛЮС» обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.5. Настоящая Политика обязательна для соблюдения всеми сотрудниками Оператора.
1.6. Оператор имеет право вносить изменения в настоящую Политику.
2. Термины и принятые сокращения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных, — ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор — организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором является ООО «ВИАН-МОНТАЖ ПЛЮС», адрес местонахождения: 236048, Калининградская обл., город Калининград, ул. Аксакова, д. 137, кв. 275, адрес электронной почты: komm.vian@yandex.ru, ИНН 3906397304, ОГРН 1203900015296.
3. Обработка персональных данных
3.1. Получение персональных данных:
3.1.1. ООО «ВИАН-МОНТАЖ ПЛЮС», как Оператором, ведется сбор только тех ПД, которые являются необходимыми и достаточными для заявленных целей обработки.
3.1.2. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.3. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.4. Документы, содержащие ПД, создаются путем:
— копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
— получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.);
— внесения сведений в учетные формы;
— указания на сайте при регистрации на сайте, оформлении заказа, заполнении анкет или других документов (форм);
— сообщения лично субъектом ПД.
3.2. Обработка персональных данных:
3.2.1. Обработка персональных данных осуществляется:
— с Согласия субъекта персональных данных на обработку ПД;
— в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
— в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).
3.2.2. Персональные данные, обрабатываемые Оператором, составляет следующая информация: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, гражданство, пол, адрес, телефон, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, ИНН, номер страхового свидетельства государственного пенсионного страхования, номер полиса обязательного медицинского страхования, сведения о документах, удостоверяющих личность.
Дополнительные персональные данные, обрабатываемые Оператором: данные, полученные при осуществлении трудовых отношений; данные, полученные для осуществления отбора кандидатов на работу.
В отношении посетителей сайтов Оператор также осуществляет обработку следующих категорий данных: адрес электронной почты; данные о пользовательском устройстве (среди которых, разрешение, версия и другие атрибуты, характеризующие пользовательское устройство); пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео; данные, характеризующие аудиторные сегменты; данные о времени посещения; идентификатор пользователя, хранимый в cookie; условия заказа в случае его оформления; информация об адресе доставки заказа.
3.2.3. Обработка ПД осуществляется Оператором смешанным способом: с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).
3.2.4. Принципы обработки персональных данных Оператором:
Обработка персональных данных осуществляется на законной и справедливой основе;
Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
Обработке подлежат только персональные данные, которые отвечают целям их обработки;
Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
3.2.5. Оператором ведется учет работников, допущенных к обработке ПД.
3.2.6. Оператор не осуществляет трансграничную передачу ПД.
3.2.7. Оператор не предоставляет и не раскрывает сведения, содержащие ПД субъектов, третьей стороне без письменного согласия субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
3.2.8. В случаях, предусмотренных законодательством Российской Федерации, Оператор вправе осуществлять передачу ПД третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам).
3.2.9. Совокупность операций обработки ПД включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
3.3. Хранение персональных данных:
3.3.1. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД. Обрабатываемые ПД по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
3.3.2. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.3. ПД, зафиксированные на бумажных носителях, хранятся в запираемых помещениях с ограниченным правом доступа.
3.3.4. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.3.5. Сроки обработки (хранения) ПД определяются исходя из целей обработки ПД, в соответствии требованиями федеральных законов, требованиями операторов ПД, по поручению которых Оператор осуществляет обработку ПД, основными правилами работы архивов организаций, сроками исковой давности.
3.3.6. ПД, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПД после прекращения их обработки допускается только после их обезличивания.
3.4. Уничтожение персональных данных:
3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
4. Защита персональных данных. Меры по обеспечению безопасности персональных данных
4.1. Оператор при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
4.2. В соответствии с требованиями Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
4.2.1. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
4.2.2. Подсистема организационной защиты включает в себя организацию разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.2.3. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.3. Основными мерами защиты ПД, используемыми Оператором, являются:
4.3.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.3.2. Определение актуальных угроз безопасности ПД при их обработке и разработка мер и мероприятий по защите ПД.
4.3.3. Разработка политики в отношении обработки персональных данных.
4.3.4. Установление правил доступа к обрабатываемым ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД.
4.3.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
4.3.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.3.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.3.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.3.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.3.10. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.3.11. Осуществление внутреннего контроля.
5. Основные права субъекта персональных данных и обязанности Оператора
5.1. Основные права субъекта персональных данных:
5.1.1. Субъект ПД имеет право на получение информации, касающейся обработки его ПД:
— подтверждение факта обработки ПД Оператором;
— правовые основания и цели обработки ПД;
— цели и применяемые Оператором способы обработки ПД;
— наименование и место нахождения Оператора;
— сведения о сроках обработки ПД, в том числе о сроках их хранения;
— перечень обрабатываемых ПД, относящихся к субъекту ПД;
— наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— способы обращения к Оператору и направления ему запросов;
— обжалование действий или бездействия Оператора.
5.1.2. Субъект ПД также имеет право:
— требовать от Оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать свое согласие на обработку ПД в любой момент;
— требовать устранения неправомерных действий Оператора в отношении его ПД;
— обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований закона или иным образом нарушает его права и свободы.
5.2. Обязанности Оператора:
5.2.1. Оператор в процессе обработки персональных данных обязан:
— при сборе ПД предоставить информацию об обработке ПД;
— в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
— при отказе в предоставлении ПД разъяснить субъекту последствия такого отказа;
— опубликовать, в том числе в сети Интернет, и обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
— давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД;
— уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПД, в случае подтверждения факта неточности ПД на основании сведений, представленных субъектом ПД или его представителем;
— прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Оператора, в случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим на основании договора с Оператором, в срок, не превышающий 3 рабочих дней с даты этого выявления;
— прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва субъектом ПД согласия на обработку ПД, если Оператор не вправе осуществлять обработку ПД без согласия субъекта ПД.
5.2.2. Для выполнения запросов и/или обращений Оператор может потребовать установить личность обратившегося и запросить дополнительную информацию, подтверждающую участие обратившегося в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором.
5.2.3. Оператор, согласно Федерального закона № 152-ФЗ «О персональных данных», обязан через портал персональных данных на официальном сайте Роскомнадзора или в бумажном виде уведомлять Роскомнадзор о начале, а также о внесении изменений в обработку, использовании новых технологий, касающихся персональных данных. Уведомление об обработке персональных данных в Роскомнадзор подается однократно, а затем актуализируется при необходимости.
Адрес для направления запросов и/или обращений субъектами персональных данных: 236048, Калининградская обл., город Калининград, ул. Аксакова, д. 137, кв. 275, адрес электронной почты: komm.vian@yandex.ru, ИНН 3906397304, ОГРН 1203900015296.
7. Заключительные положения
7.1. Настоящая Политика является локальным нормативным актом Оператора. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на сайте Оператора.
7.2. В случае неисполнения положений настоящей Политики Оператор и его работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
Контроль исполнения требований настоящей Политики, а также безопасность персональных данных осуществляется лицом, ответственным за организацию обработки ПД в ООО «ВИАН-МОНТАЖ ПЛЮС»