1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Термины и определения в соответствии с настоящей Политикой: Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Использование персональных данных — действия (операции) с персональными данными, совершаемые лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор персональных данных (Оператор) — организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором является Общество с ограниченной ответственностью «ФЁСТ» (далее по тексту — «Организация»), расположенное по адресу119 048, г. Москва, ул. Усачёва, д. 2, стр. 1, помещ. 2/1, ИНН 7 730 693 270, ОГРН 1 137 746 858 853.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Политика в отношении обработки персональных данных — настоящий локальный нормативный акт, разработанный Оператором в целях выработки подходов, определяющих принципы обработки персональных данных.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действие, направленное на раскрытие персональных данных третьим лицам по предварительному согласию, в случаях, предусмотренных законодательством Российской Федерации.
Сайт — web-сайт Организации в информационно-телекоммуникационной сети Интернет по адресу:
www.firsthrs.ru.
Субъекты персональных данных — физические лица (в том числе работники Организации, кандидаты, клиенты и контрагенты Организации), персональные данные которых обрабатываются Организацией.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
1.2. Настоящая Политика в отношении обработки персональных данных (далее — «Политика») Общества с ограниченной ответственностью «ФЁСТ» разработана с целью соблюдения требований законодательства РФ при работе с персональными данными работников, кандидатов, клиентов и контрагентов Организации, и в соответствии с требованиями действующего законодательства Российской Федерации в области защиты персональных данных и иных нормативно-правовых актов Российской Федерации, регламентирующих порядок работы с персональными данными.
1.3. Политика устанавливает обязательные для Организации и работников, задействованных в получении и обработке персональных данных, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные работников, кандидатов, клиентов и контрагентов Организации.
1.4. Цель Политики — определение порядка обработки персональных данных работников, кандидатов, клиентов и контрагентов Организации; обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных; установление ответственности лиц, имеющих доступ к персональным данным; установление ответственности лиц за организацию обработки персональных данных; установление ответственности лиц за обеспечение безопасности персональных данных в ИСПДн; определение моделей угроз и способов защиты персональных данных, которые собирает и обрабатывает Организация.
1.5. Персональные данные работников, кандидатов, клиентов и иных контрагентов Организации могут обрабатываться только для целей, непосредственно связанных с деятельностью Организации в соответствии с уставными документами Организации, а также в связи с трудовыми правоотношениями между Организацией и ее работниками. Организация собирает персональные данные только в объеме, необходимом для достижения вышеуказанных целей.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ2.1. Обработка персональных данных производится Организацией в целях:
· дальнейшего трудоустройства с возможностью обработки персональных данных в течение срока действия трудового и/или гражданско-правового договора;
· рассылки информационных и аналитических материалов;
· ведения хозяйственной деятельности Организации, а именно: заключение, исполнение и прекращение гражданско-правовых договоров с физическими и юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством Российской Федерации и Уставом Организации;
· организации кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
· ведения кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
· исполнения требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, пенсионного законодательства при формировании и передаче в Фонд пенсионного и социального страхования Российской Федерации (СФР) персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
· заполнение первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными нормативно-правовыми актами Российской Федерации.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, а именно (в том числе, но не ограничиваясь):
· Конституция Российской Федерации;
· Трудовой кодекс Российской Федерации;
· Гражданский кодекс Российской Федерации;
· Налоговый кодекс Российской Федерации;
· Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
· Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее также — «152-ФЗ»);
· Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Постановление Правительства Р Ф от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· Приказ Роскомнадзора от 28.10.2022 N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе, с соблюдением принципов и правил, установленных законодательством Российской Федерации.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
4.3. Обработке подлежат только персональные данные, отвечающие целям их обработки; содержание и объем персональных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.4. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Российской Федерации.
4.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.6. Персональные данные обрабатываются с использованием средств автоматизации и неавтоматизированным способом.
5. ОБЪЕМ И ПЕРЕЧЕНЬ (КАТЕГОРИИ) ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. К категориям субъектов персональных данных относятся:
· Работники Организации (текущие и бывшие), соискатели на замещение вакантных должностей;
· Кандидаты-физические лица, с которыми взаимодействует Организация в рамках исполнения своих обязательств перед контрагентами в соответствии с условиями заключенных договоров;
· Представители контрагентов Организации-юридических лиц;
· Посетители Сайта.
5.2. С целью осуществления хозяйственной деятельности Организации в рамках соблюдения действующего законодательства Российской Федерации, Организация осуществляет обработку общих и биометрических персональных данных.
5.3. С целью осуществления хозяйственной деятельности Организации в рамках соблюдения действующего законодательства Российской Федерации, Организацией установлен перечень персональных данных, подлежащих обработке и
содержащих информацию о ФИО, адресе электронной почты, номере мобильного телефона, паспортных данных, ИНН, СНИЛС, образовании, отношении к воинской обязанности, семейном положении, месте жительства, анкетные и биографические данные, сведения о стаже по специальности, о предыдущих местах их работы (резюме), сведения о заработной плате, фотоизображение и иная информация, которую субъекты персональных данных добровольно сообщают о себе, а также комплект документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении; технические данные, которые автоматически передаются устройством, с помощью которого соискатели и иные посетители используют Сайт Организации, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройство соответствующего субъекта персональных данных, информация о браузере, дата и время доступа к сайту, адрес запрашиваемых страниц и иная подобная информация; а также полученные в ходе видеонаблюдения (согласно локальным нормативным актам Организации) биометрические персональные данные указанных категорий субъектов, находящихся непосредственно по адресу местонахождения Организации, в том числе иные данные, указанные в согласии на обработку персональных данных.
6. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Организация обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации.
6.2. Организация не раскрывает третьим лицами и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.3. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Организации в части обеспечения конфиденциальности и безопасности персональных данных, до начала работы с персональными данными с каждым таким лицом может подписываться Соглашение о неразглашении информации (по форме Приложения № 2 к настоящей Политике или в виде отдельного соглашения, не предусмотренного настоящей Политикой, или в виде включения соответствующей оговорки в иные документы).
7. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ7.1.
Порядок получения персональных данных7.1.1. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно сам субъект.
Персональные данные относятся к конфиденциальной информации ограниченного доступа.
Обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
Организация не имеет права собирать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
7.1.2. Обработка персональных данных Организацией допускается в следующих случаях:
· Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
· Обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления Организацией функций, полномочий и обязанностей, возложенных соответствующим законом;
· Обработка персональных данных необходима для исполнения договора, стороной либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
· Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
· Обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
· Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
· Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
· В иных случаях, предусмотренных законодательством Российской Федерации.
В каждом случае при сборе согласий Организация, в лице уполномоченного лица, взаимодействующего с субъектом персональных данных, в устной форме разъясняет субъекту персональных данных либо Организация обеспечивает соответствующее разъяснение посредством размещения необходимой информации на Сайте (если указанный способ не противоречит законодательству Российской Федерации) юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку, а именно о потенциальной невозможности фактического взаимодействия с субъектом персональных данных ввиду отсутствия у Организации правовых оснований для использования и обработки персональных данных субъекта согласно целям, указанным в настоящей Политике (за исключением случаев, когда обработка персональных данных без согласия допускается в соответствии с законодательством Российской Федерации).
2.1.3. Работники Организации должны быть ознакомлены с документами Организации, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями работников Организации в этой области.
7.1.4. При определении объема и содержания, обрабатываемых персональных данных Организация, должна руководствоваться законодательством Российской Федерации.
7.1.5. Защита персональных данных от неправомерного их использования или утраты обеспечивается Организацией за счет собственных средств в порядке, установленном законодательством Российской Федерации.
7.1.6. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту тайны недействителен.
7.1.7. Организация обязана получать письменное согласие субъекта персональных данных в случае включения в общедоступные источники персональных данных (в том числе справочники, адресные книги) сведений о субъекте персональных данных: фамилии, имени, отчества, даты и места рождения, сведений о профессии и иных персональных данных, представленных субъектом.
7.1.8. Организация обязана сообщать субъекту персональных данных или его представителю по его запросу информацию, касающуюся обработки его персональных данных, при обращении субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с момента обращения либо получения Организацией запроса субъекта персональных данных или его представителя.
7.1.9. Организация обязана представить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. Организация обязана внести необходимые изменения персональных данных в срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
7.1.10. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки персональных данных, Организация обязана уничтожить такие персональные данные. О внесённых изменениях и предпринятых мерах Организация обязана уведомить субъекта персональных данных или его представителя и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.1.11. Организация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 (тридцати) дней с даты получения такого запроса, если иной срок не установлен запросом и/или законодательством Российской Федерации.
7.2.
Порядок сбора и обработки персональных данных работников (текущих и бывших), соискателей на замещение вакантных должностей7.2.1. Персональные данные соискателя, работника Организация (работодатель) получает непосредственно от соискателя/работника.
7.2.2. При поступлении на работу работник представляет документы (копии), содержащие его персональные данные:
· Паспорт или иной документ, удостоверяющий личность;
· Трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам либо трудовая книжка ведется в электронной форме (в таком случае работником предоставляются сведения из электронной трудовой книжки в форме, установленной законодательством российской Федерации);
· Страховое свидетельство государственного пенсионного страхования;
· Документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
· Документы воинского учёта — для военнообязанных и лиц, подлежащих призыву на военную службу;
· Свидетельство о присвоении ИНН (при его наличии у работника).
При оформлении работника в Организацию заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
· общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
· сведения о воинском учете;
· данные о приеме на работу;
В дальнейшем в личную карточку вносятся (при необходимости):
· сведения о переводах на другую работу;
· сведения об аттестации;
· сведения о повышении квалификации;
· сведения о профессиональной переподготовке;
· сведения о наградах (поощрениях), почетных званиях;
· сведения об отпусках;
· сведения о социальных гарантиях;
· сведения о месте жительства и контактных телефонах.
7.2.3. В Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
· Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Работодателя, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
· Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Работодателя), документы по планированию, учету, анализу и отчетности в части работы с персоналом Работодателя.
7.2.4. Работник Организации предоставляет Организации достоверные сведения о себе. Уполномоченный работник Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
7.2.5. При изменении персональных данных, работник письменно уведомляет Организацию о таких изменениях в разумный срок, не превышающий 7 (семь) дней.
7.2.6. По мере необходимости, Организация может истребовать у работника дополнительные сведения. Работник предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
7.2.7. До предоставления документов, содержащих персональные данные работника, последний предоставляет согласие на обработку персональных данных (по форме Приложения № 1 к настоящей Политике).
7.2.8. В личном деле хранится вся информация, относящаяся к персональным данным работника. Личные дела и карточки хранятся в бумажном виде в папках, которые находятся в специально отведенном шкафу, обеспечивающим защиту от несанкционированного доступа.
7.2.9. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается ответственным работником, назначаемым приказом Генерального директора. Пароли устанавливаются администратором базы данных и сообщаются индивидуально работникам, имеющим доступ к персональным данным сотрудников. Изменение паролей происходит по запросу системы.
7.2.10. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством Российской Федерации.
7.2.11. Цели обработки персональных данных работников, соискателей на замещение вакантных должностей, перечень персональных данных, а также способы, сроки обработки и хранения персональных данных, отражены в Приложении № 5 к настоящей Политике.
7.3.
Порядок сбора и обработки персональных данных кандидатов-физических лиц7.3.1. Все персональные данные кандидата-физического лица Организация получает у него самого после предоставления таким кандидатом письменного согласия на обработку персональных данных (по форме Приложения № 3 к Политике).
7.3.2. Перед допуском работников Организации к работе с персональными данными с каждым должно быть подписано соглашение о неразглашении информации, содержащей персональные данные (по форме Приложения № 2 к Политике или в виде отдельного соглашения, не предусмотренного настоящей Политикой, или в виде включения соответствующей оговорки в иные документы).
7.3.3. Работники Организации предоставляют кандидату согласие на обработку персональных данных при личной встрече в месте нахождения Организации в письменном виде, или при проведении встречи вне места нахождения Организации в письменном виде.
7.3.4. Перед предоставлением согласия на обработку персональных данных работник Организации, ответственный за встречу с кандидатом, или администратор (в случае предоставления соответствующего согласия в месте нахождения Организации) проверяет в базе данных наличие заполненного таким кандидатом согласия на обработку персональных данных.
7.3.5. Письменное согласие на обработку персональных данных включает в себя:
· Фамилию, имя, отчество субъекта персональных данных;
· Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
· Сведения об Организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер;
· Цель обработки персональных данных;
· Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
· Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
· Условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
· Срок, в течение которого действует согласие;
· Порядок отзыва согласия на обработку персональных данных.
7.3.6. После подписания кандидатом согласия на обработку персональных данных, документ сканируется и подшивается в карточку (анкету) кандидата в базе данных Организации, оригинал документа передается ответственному лицу Организации для передачи на хранение в металлических запирающихся шкафах (сейфах).
7.4.
Обработка персональных данных представителей контрагентов Организации -юридических лиц7.4.1. Обработка персональных представителей контрагентов Организации может осуществляться при согласовании соответствующего хозяйственного договора между Организацией и контрагентом-юридическим лицом в целях установления полномочий представителя контрагента, не являющегося единоличным исполнительным органом (данные о котором содержатся в общедоступных источниках (ЕГРЮЛ)), а также в целях осуществления коммуникаций по вопросам заключения и исполнения указанного договора.
7.4.2. Обработка персональных данных представителей контрагентов Организации не требует получения соответствующего согласия с учетом того, что объем обрабатываемых Организацией персональных данных соответствует цели по подготовке, заключению и исполнению планируемого договора, на основании положений пункта 5 части 1 статьи 6 152-ФЗ, а также при условии, что обработка персональных данных необходима для осуществления прав и законных интересов Организации на основании положений пункта 7 части 1 статьи 6 152-ФЗ.
7.4.3. Цели обработки персональных данных представителей контрагентов Организации-юридических лиц, перечень персональных данных, а также способы, сроки обработки и хранения персональных данных, отражены в Приложении № 5 к настоящей Политике.
7.5.
Обработка персональных данных посетителей Сайта 7.5.1. Организация осуществляет автоматизированную и неавтоматизированную обработку данных посетителей Сайта Организации для целей персонализации пользователей Сайта, осуществления коммуникации с пользователями, потенциального трудоустройства, а также оптимизации Организации своих web-ресурсов повышения осведомленности посетителей Сайта о продуктах и услугах Организации, предоставления релевантной информации в соответствии со следующим перечнем:
· Источник захода на Сайт и информация поискового или иного запроса;
· Контактные и персональные данные (ФИО, адрес электронной почты, номер телефона);
· Данные о пользовательском устройстве (атрибуты, характеризующие пользовательское устройство);
· Пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
· Параметры сессии;
· Данные о времени посещения;
· Идентификатор пользователя, хранимый в cookie.
7.5.2. Организация осуществляет обработку персональных данных способами: сбор, систематизация, накопление, хранение, обновление, изменение, использование, передача третьим лицам (предоставление, доступ).
7.5.3. С момента перехода на Сайт и до момента отзыва согласия посетители Сайта соглашаются на обработку указанных данных. Организация размещает на своем Сайте соответствующее согласие, расположенное в соответствующей вкладке Сайта.
Согласие может быть выражено в форме совершения субъектом персональных данных конклюдентных действий в виде:
— принятия условий правил пользования Сайтом;
— продолжения взаимодействия с пользовательскими интерфейсами Сайта;
— проставления отметок, заполнения соответствующих полей в экранных формах интерфейса Сайта;
— иных действий, совершаемых субъектом, по которым можно судить о его волеизъявлении.
Заполняя экранную форму интерфейса Сайта (анкета), субъект персональных данных фактически выражает свое согласие на передачу персональных данных, в результате чего письменное согласие считается полученным Организацией по смыслу ч. 4 ст. 9 152-ФЗ.
Использование Сайта для целей его надлежащего функционирования технически невозможно без предоставления посетителем Сайта согласия на обработку своих персональных данных (в случае необходимости предоставления персональных данных при заполнении соответствующих экранных форм Сайта).
Согласие на обработку персональных данных может быть отозвано путем направления в адрес Организации письменного уведомления о прекращении обработки персональных данных посетителя Сайта. Форма Отзыва согласия доступна в соответствующей вкладке Сайта.
7.5.4. Организация может собирать электронные пользовательские данные на Сайте автоматически. Достоверность собранных таким способом электронных данных в Организации не проверяется, в связи с чем информация обрабатывается в том виде, как она поступила с клиентского устройства.
Посетителям Сайта могут показываться всплывающие уведомления о сборе и обработке данных cookies и кнопкой принятия условий всплывающего уведомления. Указанное уведомление означает, что при посещении и использовании Сайта на устройстве пользователя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для Сайта. Такая информация после сохранения в браузер и до истечения срока действия или удаления с устройства будет отправляться при каждом последующем запросе на Сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Организации. Организация ведет автоматизированную обработку данных cookies (в т.ч. сведения о действиях пользователя на Сайте, сведения об оборудовании пользователя, дата и время сессии). Обработка персональных данных в этом случае осуществляется в целях улучшения работы Сайта, персонализации пользователей, повышения эффективности и удобства работы с Сайтом.
Принятие пользователем условий обработки cookies расценивается как согласие на обработку данных cookies на Сайте.
В случае, если пользователь не согласен с обработкой cookies, он должен следовать по одному из следующих вариантов:
— произвести самостоятельную настройку своего браузера таким образом, чтобы он не позволял принимать и отправлять данные cookies;
— покинуть сайт во избежание дальнейшей обработки cookies.
8. ТРЕБОВАНИЯ ПРИ ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ8.1. При передаче персональных данных Организация должна соблюдать следующие требования:
· Не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации.
· Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия, за исключением случаев, предусмотренных настоящей Политикой.
· Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что они обязаны использовать эти данные лишь в целях и тех объемах, которые необходимы для выполнения задач, соответствующих объективной причине сбора этих данных.
· Осуществлять передачу персональных данных субъектов персональных данных в пределах Организации в соответствии с настоящей Политикой в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
· Работники Организации не запрашивают информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом персональных данных трудовой функции.
· Применять меры защиты конфиденциальной информации, действующие в Организации, при сборе, обработке и хранении персональных данных как для бумажных, так и для электронных (автоматизированных) носителей информации.
· Персональные данные кандидатов (контрагентов) могут передаваться клиентам — потенциальным работодателям только с предварительного письменного согласия субъекта персональных данных. При этом в условия соглашения, договора с такими клиентами обязательно включено условие о конфиденциальности информации, содержащей персональные данные кандидатов (контрагентов) и ответственности за нарушение Законодательства Р Ф в области защиты персональных данных.
9. ОБЩЕЕ ОПИСАНИЕ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ И МЕРЫ ПО ЗАЩИТЕ9.1. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
9.2. Модели угроз безопасности — это описание возможных угроз безопасности персональных данных. Частная модель угроз может разрабатываться ответственными за защиту персональных данных в Организации с возможным привлечением сторонних экспертов. Разработчики модели должны владеть полной информацией об информационной системе персональных данных в Организации, знать нормативную базу по защите информации.
9.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
9.4. Угрозу любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации; террористические действия; аварии технических средств и линий связи; другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
9.5.
Меры по охране персональных данных должны включать в себя:· определение перечня информации, составляющей персональные данные;
· ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
9.6.
Меры по охране конфиденциальности информации признаются разумно достаточными, если:· исключается доступ к персональным данным любых третьих лиц без согласия Организации (ответственного, назначенного приказом руководителя Организации);
· обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;
· при работе с субъектом персональных данных устанавливается такой порядок действий Организации, при котором обеспечивается сохранность сведений, содержащих персональные данные субъекта персональных данных.
9.7.
Перечень и описание ИСПДн Организации·
Название: «Terrasoft Creatio»Назначение: автоматизирование рутинных операций по подбору и найму персонала
Категория субъектов ПДн, обрабатываемых в ИСПДн: кандидат-физическое лицо
Объем ПДн: более 100 000
Тип ИСПДн: информационная система, обрабатывающая персональные данные субъектов персональных данных, не являющихся сотрудниками оператора
Расположение базы данных:
Страна: Российская Федерация
Адрес ЦОДа: г. Москва, Коровинское ш. 41
Собственный ЦОД — нет
Адрес: ООО «ДатаЛайн», 111 020, г. Москва, ул. Боровая, д. 7, стр. 10, ИНН 7 722 624 970/KПП 772 201 001, ОГРН 1 077 760 860 792
·
Название: «1С: Предприятие 8 — Комплект прикладных решений»Назначение: Автоматизация бухгалтерского и управленческого учётов (включая начисление заработной платы и управление кадрами), экономической и организационной деятельности Организации;
Категория субъектов ПДн, обрабатываемых в ИСПДн: лица, осуществляющие трудовую деятельность в Организации;
Объем ПДн: до 500;
Тип ИСПДн: информационная система, обрабатывающая персональные данные субъектов персональных данных, являющихся сотрудниками Организации (оператора);
Расположение базы данных:
Страна: Российская Федерация;
Адрес: 119 048, г. Москва, ул. Усачёва, д. 2, стр. 1, помещ. 2/1 (место нахождения Организации);
Собственный ЦОД — нет;
9.8.
Основными мерами Организации по защите персональных данных являются:9.8.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию, обучение и инструктаж, внутренний контроль за соблюдением требований к защите персональных данных.
9.8.2. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн и разработка мер и мероприятий по их защите.
9.8.3. Разработка Политики в отношении обработки персональных данных, иных локальных актов, обязательных для исполнения работниками Организации.
9.8.4. Установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
9.8.5. Установление индивидуальных паролей доступа работников в информационную систему (базу). База данных, содержащие персональные данные, должна быть защищена паролем и иными средствами защиты, предусмотренными законодательством Российской Федерации. Вход работника в базу данных под индивидуальным логином и паролем для целей настоящей Политики признается предоставлением персональных данных. Вход в базу данных работником может быть доступен только после предварительного ввода индивидуального логина и пароля. При этом пароль для авторизации должен отвечать следующим требованиям:
· пароль должен иметь длину не менее 8 знаков;
· пароль не должен содержать имени учетной записи или полного имени пользователя;
· по запросу системы, пароль должен быть изменен.
· на время отсутствия работника на своем рабочем месте компьютер должен блокироваться.
9.8.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. Пользователи ИСПДн при работе со съемными носителями обязаны перед началом работы осуществить их проверку на предмет наличия компьютерных вирусов. Использование для обработки и хранения персональных данных неучтенных носителей запрещается. При обнаружении компьютерного вируса пользователи ИСПДн обязаны немедленно поставить в известность ответственного за обеспечение безопасности персональных данных и прекратить какие-либо действия в соответствующей ИСПДн.
Ответственный за обеспечение безопасности персональных данных при обнаружении компьютерного вируса принимает меры для «лечения» зараженного файла и удаления вируса и после этого вновь проводит антивирусный контроль.
В случае обнаружения вируса, не поддающегося лечению, ответственный за обеспечение безопасности персональных данных обязан:
· запретить использование носителя;
· поставить в известность ответственного за организацию обработки персональных данных;
· запретить работу в ИСПДн;
· в максимально короткие сроки обновить пакет антивирусных программ;
· провести антивирусное сканирование ИСПДн.
9.8.7. Резервирование, восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Резервированию подлежат базы данных и файлы, содержащие персональные данные. Резервирование выполняется штатным средством архивирования системы и данных и производится на локальный дисковый массив. Процедура резервного копирования производится еженедельно. Ответственным за процедуру резервирования и восстановления назначается ответственный за организацию обработки персональных данных. Восстановление файлов производится путем разархивирования файлов базы данных в исходный каталог.
9.8.8. Обеспечение ознакомления работников Организации, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, документам, определяющим политику Организации в отношении обработки персональных данных.
9.8.9. Обеспечение целостности и доступности персональных данных, программных и аппаратных средств ИСПДн, а также средств защиты при их случайной или намеренной модификации должно осуществляться с помощью резервного копирования (дублирования массивов и носителей информации) обрабатываемых данных, резервирования элементов ИСПДн. Для обеспечения целостности ИСПДн должны выполняться мероприятия по резервированию.
9.8.10. Действия по внесению изменений в конфигурацию ИСПДн разрешены только работникам, являющимися администраторами данных информационных систем. До внесения изменений в состав технических и программных средств ИСПДн проводится экспертный анализ потенциального воздействия планируемых изменений в конфигурации ИСПДн на обеспечение защиты персональных данных.
9.8.11. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в ИСПДн проводится в виде внутренней оценки на соответствие требованиям безопасности информации.
9.8.12. Меры внешней защиты персональных данных:
· учет и контроль деятельности посетителей;
· пропускной режим, технические средства охраны, сигнализации;
· круглосуточная охрана помещений Организации, где хранятся персональные данные;
· выполнение требования к защите информации при интервьюировании и собеседованиях.
9.8.13. Персональные данные, обрабатываемые в разных целях (работников и кандидатов (контрагентов)) хранятся раздельно.
10. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ10.1. Субъект персональных данных вправе требовать от Организации уточнить, заблокировать или уничтожить его персональные данные, если данные утратили актуальность, являются неполными, неточными, получены незаконно либо не отвечают заявленной цели обработки персональных данных.
10.2. Обязанности Организации по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных необходимо выполнить в сроки, установленные в статье 21 Закона «О персональных данных».
10.3. В случае подтверждения факта недостоверности персональных данных Организация на основании документов, представленных субъектом персональных данных, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязана уточнить персональные данные и снять их блокирование. Уточнение персональных данных должно быть произведено в течение 7 (Семи) рабочих дней с даты получения запроса субъекта персональных данных об уточнении.
10.4. Блокирование информации, содержащие персональные данные, производится в случае:
· если персональные данные являются неполными, устаревшими, недостоверными;
· если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.5. В случае выявления неправомерных действий с персональными данными Организация обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Организация в срок, не превышающий 3 (Трех) рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные.
10.6. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.7. Организация обязана уничтожить персональные данные в случае:
· достижения цели обработки персональных данных;
· отзыва субъектом персональных данных согласия на обработку своих персональных данных;
· истечение срока действия согласия на обработку персональных данных субъекта.
10.8. Уничтожение персональных данных должно быть осуществлено Организацией в следующем порядке:
— при представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 (Семи) рабочих дней со дня представления таких сведений;
— при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, — в течение 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных;
— при достижении цели обработки персональных данных — в течение 30 (Тридцати) дней с даты достижения цели обработки персональных данных;
— при отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных, — в течение 30 (Тридцати) дней с даты поступления указанного отзыва;
— при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных — в срок не более 10 (Десяти) рабочих дней со дня получения такого требования.
Иной срок для уничтожения персональных данных субъекта может быть предусмотрен соглашением между Организацией и субъектом персональных данных, а также в случаях, предусмотренных законодательством Российской Федерации.
10.9. Сроки хранения персональных данных и условия их уничтожения определяются в соответствии с Приложением № 5 к настоящей Политике.
10.10. В случае если обработка персональных данных осуществляется Организацией без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
10.11. В случае если обработка персональных данных осуществляется Организацией с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
10.12. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в Организации в течение 3 (Трех) лет с момента уничтожения персональных данных.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ11.1. Все работники Организации, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства Российской Федерации и заключаемым с ними соглашением (по форме Приложения № 2 к Политике или в виде отдельного соглашения, не предусмотренного настоящей Политикой, или в виде включения соответствующей оговорки в иные документы).
11.2. Лица, виновные в нарушении требований настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
11.3. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Организации, несут ответственные за обработку персональных данных.
12. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ И ВЫЯВЛЕНИЕ НАРУШЕНИЙ, УСТРАНЕНИЕ ПОСЛЕДСТВИЙ ТАКИХ НАРУШЕНИЙ12.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя Организация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
12.2. В случае подтверждения факта неточности персональных данных Организация уточняет персональные данные в течение 7 (Семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
12.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя Организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
12.4. В случае установления факта неправомерной или случайной передачи (представления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана:
— в течение 24 (Двадцати четырех) часов с момента выявления утечки уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, а также представить сведения о лице, которое будет взаимодействовать с Роскомнадзором по данному вопросу;
— провести внутреннее расследование и в течение 72 (Семидесяти двух) часов с момента выявления инцидента сообщить в Роскомнадзор о его результатах, включая сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ13.1. В случае изменения действующего законодательства Российской Федерации, внесения изменений в нормативные документы по защите персональных данных положения настоящей Политики действуют в части, не противоречащей действующему законодательству до приведения документа в соответствие с такими изменениями.
13.2. Условия настоящей Политики устанавливаются, изменяются и отменяются приказом Генерального директора Организации в одностороннем порядке с обязательным ознакомлением работников под роспись, а также путем размещения информации на Сайте (для кандидатов (контрагентов).
13.3. Политика вступает в силу с момента её утверждения Генеральным директором Организации и действует бессрочно, до замены её новой версией.
13.4. Положения настоящей Политики являются обязательными для исполнения всеми работниками Организации.