Утверждено Приказом Генерального директора ООО «Гарда Технологии № 29 от «27» августа 2018 года Редакция от «27» августа 2018 года Политика обработки персональных данных ООО «Гарда Технологии»
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») ООО «Гарда Технологии» (далее – «Компания»), ИНН 5260443081, расположенного по адресу: 603093, г. Нижний Новгород, ул. Родионова, д. 192, корп. 1, пом. 153, офис 901, разработана в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
1.2. Настоящая Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
1.3. Положения настоящей Политики служат основой для разработки локальных нормативных актов, регулирующих вопросы, связанные с обработкой и защитой персональных данных в Компании.
1.4. Политика является общедоступным документом и содержит сведения, которые подлежат раскрытию Компанией в соответствии с положениями ч. 1 ст. 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Основные понятия
2.1. Для целей настоящего Политики используются следующие основные понятия:
2.1.1. персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно к определенному физическому лицу (субъекту персональных данных);
2.1.2. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.3. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.1.4. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.1.5. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.1.6. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.1.7. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.1.8. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.1.9. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.1.10. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
3. Принципы обработки персональных данных в Компании
3.1. Обработка персональных данных в Компании осуществляется в соответствии со следующими принципами:
3.1.1. законности и справедливости целей и способов обработки персональных данных;
3.1.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
3.1.3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
3.1.4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
3.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
3.1.6. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
3.1.7. уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
4. Условия обработки персональных данных в Компании
4.1. Обработка персональных данных в Компании осуществляется в следующих случаях (правовые основания для обработки ПДн):
4.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
4.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
4.1.3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4.1.4. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.1.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.1.6. обработка персональных данных необходима для осуществления прав и законных интересов Компании и третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.1.7. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
4.3. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Компания обязана разъяснить субъекту юридические последствия отказа предоставить его персональные данные.
4.4. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно субъект персональных данных. Если персональные данные, возможно, получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Компания обязана сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
4.5. В Компании осуществляется обработка персональных данных следующих субъектов персональных данных:
4.5.1. работников Компании;
4.5.2. кандидатов;
4.5.3. лиц, проходящих в Компании практику;
4.5.4. сотрудников контрагентов и контрагентов по гражданско-правовым договорам;
4.5.5. членов органов управления Компании.
4.6. Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное предусмотрено федеральным законом.
5. Способы обработки персональных данных в Компании
5.1. Компания обрабатывает персональные данные следующими способами:
5.1.1. Неавтоматизированная обработка персональных данных;
5.1.2. Автоматизированная обработка персональных данных.
5.2. Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
6. Права субъектов персональных данных
6.1. Субъекты персональных данных имеют право на:
6.1.1. полную информацию об их персональных данных, обрабатываемых в Компании;
6.1.2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
6.1.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.4. отзыв согласия на обработку персональных данных;
6.1.5. принятие предусмотренных законом мер по защите своих прав;
6.1.6. обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
6.1.7. осуществление иных прав, предусмотренных законодательством Российской Федерации.
6.2. Порядок рассмотрения Компанией запросов субъектов персональных данных определяется Правилами рассмотрения запросов субъектов персональных данных или их представителей, утвержденных приказом Генерального директора Компании.
6.3. Обработка в Компании специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
7. Обязанности Компании как оператора персональных данных
7.1. Компания обязана:
7.1.1. при сборе персональных данных предоставить информацию об обработке персональных данных;
7.1.2. при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
7.1.3. в случае если персональные данные были получены не от субъекта персональных данных, уведомить об этом субъекта;
7.1.4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
7.1.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
7.1.6. давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
7.1.7. обеспечить запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
8. Обработка персональных данных работников Компании
8.1. Обработка персональных данных работников Компании осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения информационной безопасности Компании, защиты персональных данных работников Компании и коммерческой тайны, осуществления наблюдения за выполнением трудовых обязанностей и Правил внутреннего трудового распорядка, наложения дисциплинарного взыскания за совершение дисциплинарных проступков. При определении объема и содержания обрабатываемых персональных данных работника Компания должна руководствоваться Конституцией Российской Федерации и иными федеральными законами.
8.2. Состав персональных данных работников Компании: фамилия, имя, отчество, дата и место рождения, паспортные данные, адрес проживания (регистрации) работника, семейное, социальное, имущественное положение работника, страховой номер индивидуального лицевого счета, индивидуальный номер налогоплательщика, образование, ученая степень и звание работника, профессия, владение иностранными языками, доходы, имущество и имущественные обязательства работника, сведения о трудовом стаже, сведения о предыдущих местах работы, сведения о социальных льготах, состав семьи, сведения о воинском учете, результаты медицинского обследования, контактный телефон, контактный адрес электронной почты, фотографии, сведения о хобби и увлечениях работника и любые персональные данные, передаваемые или получаемые с использованием предоставленных Компанией средств, необходимых для выполнения трудовых обязанностей, включая (но не ограничиваясь перечисленным) доступ к сети Интернет, персональные компьютеры, программное обеспечение, телефоны, электронную почту.
8.3. Срок обработки персональных данных работников Компании определяется в соответствии с Приказом Минкультуры России от 25.08.2010 № 558.
9. Обработка персональных данных кандидатов
9.1. Целью обработки персональных данных кандидатов является содействие в трудоустройстве.
9.2. В перечень персональных данных кандидатов входят: фамилия, имя, отчество, адрес, дата рождения, место рождения, фотография, гражданство, образование, ученая степень и звание, профессия, трудовой стаж, знание иностранных языков, предыдущие места работы, состояние в браке, состав семьи, паспортные данные, сведения о воинском учете; сведения о заработной плате; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; адрес проживания (регистрации), контактный телефон, контактный адрес электронной почты.
9.3. Срок обработки персональных кандидатов определяется в соответствии с Приказом Минкультуры России от 25.08.2010 № 558.
10. Обработка персональных данных лиц, проходящих в Компании практику
10.1. Целью обработки персональных данных лиц, проходящих учебную или производственную (в том числе преддипломную) практику в Компании, является исполнение обязательств по договорам о прохождении практики, заключенным между Компанией и организацией, осуществляющей образовательную деятельность, в которой обучается лицо, проходящее практику.
10.2. В перечень персональных данных лиц, проходящих практику, входят: фамилия, имя, отчество, дата рождения, адрес, паспортные данные, сведения о получаемом образовании, месте обучения (в том числе, наименование организации, осуществляющей образовательную деятельность, факультет, кафедра, специализация, группа), научном руководителе, теме научного исследования (курсовой или дипломной работы), сведения о прохождении практики (включая индивидуальные задания, результаты их выполнения, рабочий график (план) проведения практики), контактный телефон, контактный адрес электронной почты.
10.3. Срок обработки персональных лиц, проходящих в Компании практику, определяется в соответствии с Приказом Минкультуры России от 25.08.2010 № 558.
11. Обработка персональных данных сотрудников контрагентов и контрагентов по гражданско-правовым договорам.
11.1. Целью обработки персональных данных сотрудников контрагентов и контрагентов является исполнение обязательств по договорам, заключенным с контрагентами.
11.2. В перечень персональных данных сотрудников контрагента входят: фамилия, имя, отчество, номер телефона, адрес электронной почты, должность. Обязанность получения согласия на передачу Компании и обработку Компанией персональных данных возлагается на контрагента. В перечень персональных данных контрагентов входят: фамилия, имя, отчество, номер телефона, адрес электронной почты, паспортные данные, адрес регистрации, СНИЛС, ИНН, реквизиты банковского счета.
11.3. Срок хранения персональных данных сотрудников контрагентов и контрагентов определяется ст. 196 ГК РФ и составляет три года после расторжения договора или окончания срока его действия.
12. Обработка персональных данных членов органов управления Компании
12.1. Целью обработки персональных данных членов органов управления Компании является исполнение обязательств, предусмотренных действующим законодательством Российской Федерации и Уставом Компании.
12.2. В перечень персональных данных членов органов управления Компании входят: фамилия, имя, отчество, паспортные данные, реквизиты банковского счета, адрес регистрации, ИНН, данные о дате и месте рождения, информация о том, что лицо является членом органов управления Компании.
12.3. Срок хранения персональных данных членов органов управления Компании определяется в соответствии с Приказом Минкультуры России от 25.08.2010 № 558.
13. Передача персональных данных
13.1. При передаче персональных данных Компания должна соблюдать следующие требования:
13.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
13.1.2. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
13.1.3. Передавать персональные данные субъекта персональных данных его законным, полномочным представителям в порядке, установленном действующим законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
14. Доступ к персональным данным
14.1.Доступ к персональным данным ограничивается в соответствии с действующим законодательством и настоящей Политикой.
14.2. Компания не вправе разглашать полученные ею в результате своей деятельности персональные данные.
14.3. Перечень лиц, имеющих право доступа к персональным данным, обрабатываемым с использованием и/или без использования средств автоматизации, а также объем этих прав определяется приказом Генерального директора Компании.
14.4. Доступ работников Компании к материальным носителям ПДн предоставляется в соответствии с Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации и Перечнем должностей Компании, имеющих доступ к местам хранения персональных данных, утверждаемые приказом Генерального директора Компании.
14.5. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей ПДн в соответствии с действующим законодательством РФ, ПДн передаются в пределах, необходимых для выполнения ими своих функций.
14.6. Внешние организации для получения доступа к ПДн работников Компании обязаны предоставить в Компанию в письменной форме запрос, подписанный руководителем организации и заверенный печатью. Компания предоставляет ПДн иным лицам только после получения письменного согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
15. Меры по обеспечению защиты персональных данных
15.1. Для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в Компании принимаются следующие меры (требования к защите ПДн):
15.1.1. Назначение ответственных работников за организацию обработки ПДн в Компании;
15.1.2. Издание документов, определяющих политику Компании в отношении обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
15.1.3. Обеспечение неограниченного доступа к документу, определяющему политику Компании в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
15.1.4. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн.
15.1.5. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн действующему законодательству РФ и принятым в соответствии с ним нормативными правовыми актами, требованиями к защите ПДн, политике Компании в отношении обработки ПДн, локальными актами Компании.
15.1.6. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых в Компании мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ.
15.1.7. Ознакомление работников Компании, осуществляющих обработку ПДн, с локальными актами по вопросам обработки ПДн.
15.1.8. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и разработка мер и мероприятий по защите персональных данных.
15.1.9. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
15.1.10. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
16. Уничтожение персональных данных
16.1. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении. Для уничтожения персональных данных приказом Генерального директора назначается комиссия по уничтожению персональных данных. Уничтожение персональных данных оформляется актом.
16.2. В случае отзыва субъектом ПДн согласия на обработку своих ПДн работники структурных подразделений обязаны прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором между Компанией и субъектом ПДн.
17. Изменение Политики
17.1. Компания вправе вносить изменения в настоящую Политику. При этом при внесении изменений в Политику, Компания размещает актуальную версию Политики на официальном сайте Компании и указывает в начале документа дату подготовки соответствующей редакции Политики.
17.2. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Компании.