Положение о работе с персональными данными
Положение о работе с персональными данными
1. Понятия и определения
1.1.Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе, но не ограничиваясь:
- фамилия, имя, отчество;
- данные документов, удостоверяющих личность физического лица;
- контактная информация (телефон, адрес электронной почты, адрес места регистрации и пр.);
- иные сведения, которые в соответствие с положениями действующего законодательства Российской Федерации относятся и/или могут быть отнесены к персональным данным.
1.2.Оператор – Общество с ограниченной ответственностью Группа компаний «Коррекс» (далее также по тексту «Общество»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.Субъект – физическое лицо, в том числе (но не ограничиваясь) работник Оператора и/или его контрагент (в том числе потенциальный), а равно иное физическое лицо, вступающее в те или иные взаимоотношения с Оператором, требующие осуществление Обработки персональных данных.
1.5.Информационная защита – совокупность организационно-технических и режимных мероприятий, а также мероприятий скрытого контроля, направленных на предотвращение доступа к сведениям, составляющим персональные данные, лицам, не имеющим право доступа к ним на законном основании.
1.6.Носители сведений (информации), составляющих персональные данные – материальные объекты, в которых сведения находят свое отображение.
1.7.Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
1.8.Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.9.Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://____________________.
1.10.Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.11.Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
1.12.Пользователь — любой посетитель Веб-сайта.
1.13.Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- 1.14.Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
- 1.15.Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
- 1.16.Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.
2. Общие положения
2.1.Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными физических лиц, а также гарантии конфиденциальности таких сведений.
2.2. Настоящее Положение разработано в соответствии с действующим законодательством Российской Федерации, включая Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.06.2006 г. № 152-ФЗ «О персональных данных», а также иные нормативно-правовые акты, действующими на территории Российской Федерации.
2.3.В соответствии с настоящим Положением Общество принимает меры к охране информации, составляющей персональные данные, ограничению доступа к ней третьих лиц.
2.4. Настоящее Положение распространяется на информацию, составляющую персональные данные, независимо от вида носителя, на котором она зафиксирована.
2.5. Доступ к сведениям, относящимся к персональным данным, лицами, не являющихся работниками Общества и не работающих с Обществом на основании гражданско-правовых договоров, осуществляется на основаниях и в порядке, предусмотренным действующим законодательством Российской Федерации.
2.6.Настоящее Положение применяется ко всей информации, которую Оператор может получить о посетителях Веб-сайта и/или иных лиц, как размещенной на Веб-сайте, так и полученной в ином порядке.
3. Получение и обработка персональных данных
3.1.Для предоставления Оператору права получать и осуществлять обработку Персональных данных Субъект выдает согласие. Рекомендуемая форма согласия на обработку Персональных данных дана в приложении № 1 к настоящему Положению.
3.2.В случае если Субъект не выдал Оператору письменное согласие на обработку Персональных данных, но при этом вступил с Оператором в фактические взаимоотношения (трудовые, гражданско-правовые и пр.), либо направил заявку на оказание услуг / сотрудничество посредством Веб-сайта, электрнного письма на электронную почту, сообщение в мессенджерах «Ватсап», «Телеграмм», «В контакте», «МАКС», в результате чего передал Оператору свои Персональные данные, признается, что Субъект предоставил Оператору согласие на обработку Персональных данных в объеме, требуемом Оператору для надлежащего исполнения своих обязательств, вытекающих из фактически возникших взаимоотношений между Субъектом и Оператором (согласие, явствующее из обстановки).
3.3.Персональные данные Оператор получает непосредственно от Субъекта. Оператор вправе получать Персональные данные Субъекта от третьих лиц только при наличии письменного согласия Субъекта или в иных случаях, прямо предусмотренных в законодательстве.
3.4.При вступлении во взаимоотношения (трудовые, гражданско-правовые и пр.) с Оператором Субъект заполняет анкету, в которой указывает следующие сведения о себе (полностью или в части – в зависимости от особенностей возникающих взаимоотношений Субъекта и Оператора):
- Фамилия имя и отчество;
- Пол;
- Дату рождения;
- Семейное положение;
- Отношение к воинской обязанности;
- Место регистрации, а также место фактического проживания;
- Контактный телефон;
- Адрес электронной почты;
- Данные документа, удостоверяющего личность;
- Данные документов, удостоверяющих постановку на налоговый учет и регистрацию в Пенсионном фонде Российской Федерации;
- Образование, специальность;
- Иные сведения, с которыми Субъект считает нужным ознакомить Оператора, в том числе необходимые последнему для надлежащего и качественного исполнения своих обязательств перед Субъектом, вытекающих из особенностей возникающих взаимоотношений.
3.5.Оператор не вправе требовать от Субъекта представления информации о политических и религиозных убеждениях, а также о его частной жизни.
3.6.Субъект представляет Оператору достоверные сведения о себе. Оператор вправе проверить достоверность сведений любым доступным способом, в том числе сверяя данные, представленные Субъектом, с имеющимися у Субъекта документами.
3.7.При изменении Персональных данных Субъект письменно уведомляет Оператора о таких изменениях в разумный срок, не превышающий 10 (десяти) рабочих дней.
3.8.По мере необходимости Оператор истребует у Субъекта дополнительные сведения. Субъект представляет требуемые сведения и, в случае необходимости, предъявляет документы, подтверждающие достоверность этих сведений.
3.9.При использовании Субъектом Веб-сайта Оператор осуществляет сбор и обработку обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других).
4. Хранение персональных данных работников
4.1. Анкета Субъекта хранится у Оператора, который обязан назначить лицо, ответственное за обеспечение сохранности Персональных данных, содержащихся в анкете.
4.2. Персональные данные Субъектов могут храниться как на бумажном носителе, так и в электронном виде, в том числе в локальной компьютерной сети Оператора. Доступ к электронным базам данных, содержащим персональные данные Субъектов, должен обеспечивать сохранность Персональных данных от их получения не уполномоченными лицами, в том числе путем установления паролей на вход в электронные базы данных и/или локальную компьютерную сеть Оператора.
4.3. Изменение паролей Оператором происходит не реже одного раза в два месяца.
4.4. В целях повышения безопасности по обработке, передаче и хранению Персональных данных Субъекта в информационных системах проводится их обезличивание. Для обезличивания Персональных данных применяется метод введения идентификаторов, то есть замена части сведений Персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.
4.5. Доступ к Персональным данным Субъекта имеют Оператор, его заместитель, главный бухгалтер. Доступ специалистов других отделов Оператора к Персональным данным осуществляется на основании письменного разрешения Оператора.
4.6. Копировать и делать выписки из Персональных данных Субъекта разрешается исключительно в целях исполнения Оператором своих обязательств, вытекающих из взаимоотношений с Субъектом, с письменного разрешения Оператора.
4.7. Работник Оператора, который в силу своих служебных обязанностей имеет доступ к Персональным данным, а также работник Оператора, которому будет доверены Персональные данные для исполнения определенного задания, обязан в момент приема на работу либо по первому требованию Оператора ознакомиться с настоящим Положением и дать Оператору обязательство о неразглашении Персональных данных.
4.8. Допуск к Персональным данным осуществляется только после дачи работником Оператора обязательства о неразглашении Персональных данных.
4.9. Обязательство о неразглашении Персональных данных оформляется в письменной форме за подписью работника Оператора, и является неотъемлемой частью трудового договора, заключаемого с Оператором.
4.10. Обязательство о неразглашении Персональных данных оформляется в одном экземпляре, который хранится у Оператора.
4.11. Кроме обязательства о неразглашении Персональных данных, работник Оператора дает согласие на проведение в отношении него уполномоченными должностными лицами проверочных мероприятий в пределах, установленных действующим законодательством Российской Федерации.
5. Использование персональных данных
5.1. Персональные данные Субъекта используются для целей, связанных с выполнением Оператором своих обязательств, вытекающих из характера взаимоотношений, возникших между Субъектом и Оператором.
5.2. Оператор использует Персональные данные, в частности, для решения вопросов:
- Заключения, исполнения и/или расторжения гражданско-правовых и/или трудовых договоров с Субъектами;
- Наиболее полного, оптимального и оперативного исполнения Оператором своих обязательств, вытекающих из гражданско-правовых и/или трудовых договоров с Субъектами;
- Информирования Субъектов о заключении, исполнении и/или расторжении гражданско-правовых и/или трудовых договоров с Субъектами, а равно об иных обстоятельствах, имеющих значение для Субъектов, о чем Оператор и Субъект оговаривают отдельно;
- Продвижения Субъекта по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы (в отношении работников Оператора);
- Допуска Субъекта к информации, составляющей служебную или коммерческую тайну.
5.3.Принципы обработки, хранения и уничтожения Персональных данных:
- Обработка Персональных данных осуществляется на законной и справедливой основе;
- Обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Не допускается объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Обработке подлежат только Персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых Персональных данных по отношению к заявленным целям их обработки;
- При обработке персональных данных обеспечивается точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- Оператор и иные лица, получившие доступ к Персональным данным, обязаны не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта, если иное не предусмотрено действующим законодательством Российской Федерации;
- Хранение Персональных данных осуществляется в форме, позволяющей определить Субъект, не дольше, чем этого требуют цели обработки Персональных данных, если иной срок хранения Персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
- Обрабатываемые Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации
5.4.Трансграничная передача Персональных данных:
- Оператор до начала осуществления деятельности по трансграничной передаче Персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу Персональных данных (такое уведомление направляется отдельно от уведомления о намерении осуществлять обработку Персональных данных);
- Оператор до подачи вышеуказанного уведомления, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача Персональных данных, соответствующие сведения.
6. Передача персональных данных третьим лицам
6.1. Информация, относящаяся к Персональным данным Субъекта, может быть предоставлена:
- Государственным органам в порядке, установленном действующим законодательством Российской Федерации;
- Контрагентам и партнерам Оператора – в объеме, необходимом для целей надлежащего и своевременного выполнения Оператором своих обязательств, вытекающих из взаимоотношений с Субъектом;
- Работникам Оператора - в объеме, необходимом для целей надлежащего и своевременного выполнения Оператором своих обязательств, вытекающих из взаимоотношений с Субъектом.
6.2. Во всех иных случаях Оператор не вправе предоставлять Персональные данные третьему лицу без письменного согласия Субъекта за исключением ситуаций, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта.
6.3.В случае если в адрес Оператора поступил запрос о предоставлении Персональных данных Субъекта от имени лица, не уполномоченного действующим законодательством Российской Федерации, настоящим Положением и/или Субъектом на получение, хранение и обработку Персональных данных, Оператор обязан отказать такому лицу в выдаче информации.
6.4. Персональные данные могут быть переданы представителям Субъекта в порядке, установленном действующим законодательством Российской Федерации, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
6.5. Оператор обеспечивает ведение журнала учета выданных Персональных данных, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
7. Права и обязанности Оператора
7.1.Оператор вправе:
- получать от Субъекта достоверные информацию и/или документы, содержащие Персональные данные;
- в случае отзыва Субъектом согласия на обработку Персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку Персональных данных без согласия Субъекта при наличии оснований, указанных в действующем законодательстве Российской Федерации;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, связанных со сбором, обработкой, хранением и уничтожением Персональных данных, предусмотренных Законодательством Российской Федерации;
- осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение Персональных данных — в порядке, предусмотренном действующим законодательством Российской Федерации, в объеме правомочий, предоставленных Субъектом и/или законом, в том числе в автоматизированной форме с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
- 7.2.Оператор обязан:
- предоставлять Субъекту по его просьбе информацию, касающуюся обработки его Персональных данных;
- организовывать обработку Персональных данных в порядке, установленном действующим законодательством Российской Федерации;
- отвечать на обращения и запросы Субъекта и его законных представителей в соответствии с требованиями действующего законодательства Российской Федерации;
- сообщать в уполномоченный орган по защите прав субъектов Персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
- публиковать или иным образом обеспечивать неограниченный доступ Субъектам к настоящему Положению;
- принимать правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении Персональных данных;
- прекратить передачу (распространение, предоставление, доступ) Персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных действующим законодательством Российской Федерации;
- исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации.
- 8. Права Субъекта
- 8.1.Субъект вправе:
- получать информацию, касающуюся обработки его Персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. Сведения предоставляются Субъекту Оператором в доступной форме, и в них не должны содержаться Персональные данные, относящиеся к другим Субъектам, за исключением случаев, когда имеются законные основания для раскрытия таких Персональных данных. Перечень информации и порядок ее получения установлен действующим законодательством Российской Федерации;
- требовать от Оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
- отозвать согласие на обработку Персональных данных, а также направить требование о прекращении обработки Персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его Персональных данных.
Гарантии конфиденциальности персональных данных
7.1. Информация, относящаяся к Персональным данным Субъекта, является конфиденциальной, и охраняется действующим законодательством Российской Федерации.
7.2. Субъект вправе требовать, а Оператор обязан предоставить полную информацию о своих Персональных данных, об их обработке, использовании и хранении.
7.3. В случае разглашения Персональных данных без согласия Субъекта он вправе требовать от Оператора разъяснений.
8. Заключительные положения
8.1. В случае несогласия с настоящим Положением или перечнем сведений, составляющих Персональные данные, или отказа Субъекта дать согласие на обработку персональных данных, Субъект обязан уведомить об этом Оператора любым доступным способом.
8.2. К вопросам, не урегулированным настоящим Положением, применяются положения действующего законодательства Российской Федерации.
Приложение № 1
к Положению о работе с персональными данными
СОГЛАСИЕ
на обработку персональных данных
Настоящим ____________________________________________________________________,
(фамилия, имя, отчество)
именуемый(ая) в дальнейшем, Заявитель (основной документ, удостоверяющий личность: ______________________ со следующими реквизитами: ____________________________________
(наименование документа) (серия, номер, кем и когда выдан)
_______________________________________________________________________________, адрес места регистрации: ___________________________________________________________________,
дата рождения: _______________, место рождения: ________________________________________,
ИНН __________________), в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» подтверждает свое согласие на передачу и обработку персональных данных в целях заключения, исполнения и/или расторжения договора (договоров) с ООО ГК «Коррекс» (ИНН 6685209989, ОГРН 1236600022560).
Настоящее согласие дано в отношении всех сведений, указанных в передаваемых Заявителем в адрес ООО ГК «Коррекс» (ИНН 6685209989, ОГРН 1236600022560) документах, в том числе (если применимо): фамилия, имя, отчество, дата и место рождения; паспортные данные; сведения об образовании (с указанием учебных заведений); сведения о трудовой деятельности с указанием наименования организации и занимаемой должности (в том числе по совместительству); сведения об участии (членстве) в органах управления иных юридических лиц; биографические данные, фотография, контактная информация, собственноручная подпись, иные персональные данные, упомянутые в любом заполняемом в вышеуказанных целях документе.
Перечень действий с персональными данными, в отношении которых дано согласие, включает: обработку (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных). При этом общее описание вышеуказанных способов обработки данных приведено в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных». ООО ГК «Коррекс» (ИНН 6685209989, ОГРН 1236600022560) также предоставляется право на передачу информации, содержащей персональные данные Заявителя, третьим лицам, в случаях, установленных действующим законодательством Российской Федерации и/или когда это необходимо для целей заключения, исполнения и/или расторжения договоров с Заявителем.
ООО ГК «Коррекс» (ИНН 6685209989, ОГРН 1236600022560) запрещается передавать персональные данные Заявителя иным лицам, если имеются основания полагать, что последние могут воспользоваться указанными персональными данными в мошеннических и/или иных, заведомо противозаконных целях.
Условием прекращения обработки персональных данных является получение ООО ГК «Коррекс» (ИНН 6685209989, ОГРН 1236600022560) письменного уведомления об отзыве настоящего Согласия на обработку персональных данных и/или истечение срока действия настоящего Согласия.
Настоящее Согласие действует в течение 10 (десяти) лет со дня его подписания Заявителем.
Подтверждаю, что ознакомлен(а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне понятны.
«___» ______________ 20__ г. _________________ / _________________
(дата) (подпись) (расшифровка)