ПОЛИТИКА ПЕРСОНАЛЬНЫХ ДАННЫХ Политика в отношении обработки персональных данных ООО «МАРКЕТ»
1. Общие положения1.1 В процессе ведения бизнеса, ООО «МАРКЕТ» обрабатывает персональные данные физических лиц – субъектов персональных данных. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства в полном объеме, ООО «МАРКЕТ» (далее Оператор) считает важнейшей задачей обеспечение законности и справедливости обработки персональных данных, соблюдение их конфиденциальности и безопасности процессов их обработки.1.2 Настоящая политика обработки персональных данных (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), определяет принципы и основные положения в отношении обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных Оператором и является общедоступным документом.1.3 Политика разработана в целях реализации требований законодательства в области персональных данных и направлена на обеспечение защиты прав и свобод физических лиц, персональные данные которых обрабатывает Оператор (далее - Субъект персональных данных).1.4 Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.1.5 В целях реализации Политики Оператором разрабатываются соответствующие локальные нормативные акты, регламентирующие порядок обработки персональных данных.1.6 Оператор оставляет за собой право пересматривать, изменять и дополнять настоящую Политику в случае изменения законодательных и нормативно-правовых актов, а также по своему усмотрению. Новая редакция Политики вступает в силу, с момента ее размещения в открытом доступе на официальном сайте Оператора в сети Интернет, если иное не предусмотрено новой редакцией Политики.1.7 В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ «О персональных данных». 2. Правовые основания обработки персональных данных2.1 Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Правовыми основаниями для обработки являются:· Конституция Российской Федерации;· Трудовой кодекс Российской Федерации;· Гражданский кодекс Российской Федерации;· Налоговый кодекс Российской Федерации;· Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;· Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;· Федеральный закон от 29.11.2007 г. № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации»;· Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;· Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;· Федеральный Закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации»· Приказ Минтруда России от 19.05.2021 № 320н «Об утверждении формы, порядка ведения и хранения трудовых книжек»;· Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;· Постановление Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;· Устав Оператора;· Трудовые договоры;· Договоры, заключаемые в процессе хозяйственной деятельности Оператора;· Договоры, предусматривающие поручение обработки персональных данных Оператору;· Согласия на обработку персональных данных. 3. Сведения об обработке персональных данных3.1 Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.3.2 Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.3.3 Обработка персональных данных осуществляется на основе следующих принципов:· соблюдение законности целей и способов обработки персональных данных;· обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;· содержание и объем обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;· не допускается обработка персональных данных, несовместимая с целями обработки;· не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;· хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;· обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки; · уничтожение персональных данных по истечении срока хранения;· обеспечение конфиденциальности и защиты персональных данных, не являющемся общедоступными.3.4 Обработка персональных данных осуществляется в целях:· ведение кадрового, бухгалтерского и налогового учета;· поиска работников и принятия решения о приеме на работу;· открытия счета и выпуска банковской карты для перечисления заработной платы и иных выплат работникам;· обеспечения работников услугами связи (корпоративная мобильная связь, корпоративная электронная почта);· проведения специальной оценки условий труда;· оформления для работников (физических лиц, являющихся членами семьи работников) полисов добровольного медицинского страхования;· направления работников в командировку;· направления работников в медицинские организации для оказания им медицинских услуг;· получения образования работниками;· оформление пропусков (обеспечения пропускного и внутриобъектового режима, обеспечение личной безопасности и сохранности имущества Оператора);· заключения и исполнения договоров;· обслуживание и продвижения сайта компании в сети интернет;· использования сервисов (услуг) Оператора на его сайте в сети Интернет с целью заказа обратного звонка, записи на получение услуги, а также для осуществления заказа и оплаты услуг Оператора; · информирования о товарах, работах и услугах, а также их продвижения (распространения рекламы), в том числе путем осуществления прямых контактов с потенциальным потребителем, с помощью средств связи; · обеспечение организационно-информационной внутренней деятельности Оператора.3.5 К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:Работники Оператора:· физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;· физические лица, ранее состоявшие в трудовых отношениях с Оператором;· физические лица, являющиеся членами семьи работников Оператора;· Участники общества.Соискатели Оператора:· физические лица, являющиеся кандидатами на вакантные должности Оператора;Контрагенты, их законные представители:· физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором;· физические лица, являющиеся руководителями, представителями и работниками контрагентов Оператора;· физические лица, обработка персональных данных, которых необходима для выполнения обязанностей, реализации прав и законных интересов Оператора или третьих лиц (представители);· физические лица, выразившие согласие на обработку персональных данных.Субъекты, персональные данные которых обрабатываются в связи с оказанием Оператором услуг:· физические лица, которые являются работниками третьих лиц и с согласия которых обработка персональных данных поручена Оператору;· физические лица, ранее состоявшие в трудовых отношениях с третьими лицами и с согласия которых обработка персональных данных поручена Оператору;· физические лица, являющиеся руководителями, представителями и работниками контрагентов третьих лиц, обработка персональных данных которых поручена Оператору;· физические лица, выразившие согласие на поручение обработки персональных данных Оператору;· физические лица, обработка персональных данных, которых необходима для выполнения обязанностей, реализации прав и законных интересов третьих лиц (представители).Посетители сайта Оператора в сети Интернет· физические лица, выразившие согласие на обработку персональных данных пользующиеся сервисами (услугами) Оператора и/или третьих лиц на сайте Оператора в сети Интернет3.6 Состав обрабатываемых персональных данных по каждой категории Субъектов персональных данных в зависимости от цели обработки определен в перечне обрабатываемых персональных данных, утвержденном Оператором.3.7 Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:· достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;· утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;· предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;· невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;· отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;· отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;· истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;· ликвидация (реорганизация) Оператора.3.8 Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:· цели, условия, сроки обработки персональных данных;· обязательства сторон, в том числе меры по обеспечению конфиденциальности;· права, обязанности и ответственность сторон, касающиеся обработки персональных данных.3.9 В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке. 4. Обеспечение безопасности персональных данных4.1 Для защиты персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, в соответствии с законодательством в области персональных данных.4.2 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если другое не предусмотрено законодательством РФ.4.3 Основными мерами защиты персональных данных, реализуемыми Оператором, являются:· назначение ответственного за организацию обработки персональных данных;· обеспечение неограниченного доступа к Политике;· утверждение локальных нормативных актов, регламентирующие порядок обработки персональных данных;· ознакомление работников с положениями законодательства о персональных данных, а также локальными нормативными актами;· осуществление допуска работников к персональным данным только для выполнения должностных обязанностей;· установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учёта всех действий с ними;· определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;· обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;· применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;· учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;· резервное копирование информации для возможности восстановления;· осуществление обнаружения фактов несанкционированного доступа к персональным данным и принятие меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;· оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;· осуществление систематического внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных и локальным нормативным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня их защищенности при обработке в информационной системе Оператора;· информирование Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав Субъектов персональных данных;· обеспечение в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;· применение иных мер, предусмотренных законодательством в области персональных данных.4.4 Конкретные меры по обеспечению безопасности персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими порядок обработки персональных данных. 5. Права субъектов персональных данных5.1 Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.5.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, указанных в части 7 статьи 14 ФЗ «О персональных данных», а также право на ознакомление со своими персональными данными, в том числе содержащей:· подтверждение факта обработки персональных данных Оператором;· правовые основания и цели обработки персональных данных;· цели и применяемые Оператором способы обработки персональных данных;· наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;· обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;· сроки обработки персональных данных, в том числе сроки их хранения;· порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;· информацию об осуществленной или о предполагаемой трансграничной передаче данных;· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;· иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.Оператор сообщает Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставляет Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных, при обращении Субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта персональных данных или его представителя.Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления информации.В случае отказа в предоставлении информации Субъекту персональных данных или его представителю при их обращении/запросе Оператор дает в письменной форме мотивированный ответ в срок, не превышающий 10 (десяти) рабочих дней со дня обращения/запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.В случае предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем таких сведений. В случае представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные в срок, не превышающий 7 (семи) рабочих дней со дня представления Субъектом персональных данных или его представителем таких сведений.Оператор уведомляет Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.5.3 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.5.4 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.5.5 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 6. Роли и ответственность6.1 Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.6.2 Контроль за соблюдением требований законодательства, а также локальных нормативных актов, регламентирующих порядок обработки персональных данных, осуществляется лицом ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.6.3 Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.6.4 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.