Политика обработки персональных данных

1. Общие положения

1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) является основополагающим внутренним документом Общества с ограниченной ответственностью «ИндаСофт» (далее – Общество), регулирующим вопросы обработки персональных данных, и распространяется на все обособленные подразделения и структурные единицы Общества.

1.2 Общество является оператором персональных данных в силу Закона о персональных данных.

1.3 Политика утверждается единоличным исполнительным органом Общества и действует бессрочно после утверждения и до ее замены новой версией.

1.4 Внесение изменений (дополнений) в Политику производятся Обществом в одностороннем порядке.

1.5 Политика разработана в соответствии с Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее – Закон о персональных данных) в целях обеспечения соответствия законодательству Российской Федерации методов обработки, хранения и защиты персональных данных субъектов персональных данных, применяемых в Обществе, и определяет основные принципы обработки и защиты персональных данных, соблюдения прав и свобод субъектов персональных данных, описывает особенности сбора, хранения, использования и передачи персональных данных, реализуемые требования к их защите, а также информацию о правах лиц, к которым относятся соответствующие персональные данные.

1.6 В Политике раскрываются основные категории персональных данных, обрабатываемых в Обществе, цели, способы и принципы обработки персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке и хранении.

1.7 Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.

1.8 Политика определяет действия работников Общества при осуществлении ими функций по обработке персональных данных в целях непосредственной реализации закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Общества при обработке персональных данных.

2. Основные термины и понятия

2.1 Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

2.2 Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.3 Информационная система персональных данных - совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.4 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

2.5 Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором персональных данных в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

2.6 Блокирование персональных данных - временное прекращение обработки персональных данных;

2.7 Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.8 Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.9 Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц;

2.10 Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях, в том числе в сети Интернет, или предоставление доступа к персональным данным неопределенному кругу лиц каким-либо иным способом;

2.11 Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

2.12 Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители, содержащие персональные данные.

3. Общие принципы и цели обработки персональных данных

3.1 Обработка персональных данных Обществом осуществляется на основе следующих принципов:

3.1.1 Законность целей и способов обработки персональных данных;

3.1.2 Обработка персональных данных в соответствии с заранее определенными и заявленными целями при сборе персональных данных;

3.1.3 Соответствие содержания и объема обрабатываемых персональных данных целям их обработки;

3.1.4 Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

3.1.5 Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3.1.6 Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

3.1.7 Уничтожение обрабатываемых персональных данных либо их обезличивание по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также при отзыве согласия субъекта персональных данных на обработку персональных данных, если иное не предусмотрено Законом о персональных данных;

3.1.8 Недопустимость предоставления персональных данных третьим лицам, а также распространения персональных данных без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.2 Обработка персональных данных Обществом осуществляется в следующих целях:

3.2.1 Заключение, изменение, сопровождение, прекращение трудовых договоров. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий работникам и членам их семей. Обеспечение возможности обучения и должностного роста работников. Привлечение и отбор кандидатов на работу;

3.2.2 Осуществление гражданско-правовых отношений, заключение, изменение, исполнение, прекращение гражданско-правовых договоров, стороной которых является субъект персональных данных либо если субъект персональных данных выступает представителем/работником юридического лица, являющегося клиентом или контрагентом Общества;

3.2.3 Обеспечение пропускного и внутриобъектового режимов на территории Общества, режима охраны зданий и территорий, находящихся в администрировании Общества, а также его обособленных подразделений и иных структурных единиц;

3.2.4 Предоставление доступа к сайту Общества в информационно-телекоммуникационной сети Интернет: https://indusoft.ru/ (далее – сайт);

3.2.5 Осуществление связи с субъектами персональных данных для направления уведомлений, запросов и информации, рекламных предложений, исполнения гражданско-правовых и трудовых договоров, обработки запросов и заявок.

Общество при обработке персональных данных принимает необходимые организационные и технические меры, в том числе с использованием шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке.

4. Объем и категории обрабатываемых персональных данных

4.1 Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
- работники Общества;
- бывшие работники Общества;
- кандидаты на замещение вакантных должностей Общества;
- родственники работников Общества;
- физические лица, являющиеся клиентами и/или контрагентами Общества, либо их уполномоченные представители;
- представители/работники юридических лиц, являющихся клиентами и/или контрагентами Общества;
- иные физические лица, являющиеся потенциальными клиентами и/или контрагентами Общества.v

4.2 Общество обрабатывает персональные данные в объёме, соответствующем целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.3 Общество может обрабатывать следующие категории персональных данных в зависимости от заявленных целей обработки:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- изображение (фотография);
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- номер телефона;
- адрес электронной почты;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, опыте работы, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов и наличии исполнительных документов в отношении субъекта персональных данных;
- сведения о доходе с предыдущего места работы;
- номер расчетного счета и банковские реквизиты;
- иные персональные данные, предоставляемые субъектом персональных данных и необходимые для заключения и исполнения гражданско-правовых и трудовых договоров.

5. Порядок и условия обработки персональных данных

5.1 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.2 Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. К обработке персональных данных допускаются работники, в должностные обязанности которых входит обработка персональных данных.

5.3 Получение персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных в устной и письменной форме от лиц, которым субъекты персональных данных предоставили право на предоставление и/или распространение своих персональных данных третьим лицам;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Общества, в том числе посредством информационно-телекоммуникационной сети Интернет через сайт Общества, а также посредством внутренних локальных сетей Общества, субъектами персональных данных, их представителями, лицами, которые получили от субъектов персональных данных право на предоставление и/или распространение их персональных данных.

6. Права субъектов персональных данных

6.1 Субъект персональных данных имеет право:

6.1.1 в любой момент изменить (обновить, дополнить) предоставленные им персональные данные;

6.1.2 отозвать согласие на обработку персональных данных в любой момент путем направления Обществу письменного уведомления по адресу: Москва, Перовское ш, дом № 9, стр. 1, ком. 105 с указанием персональных данных согласие на обработку которых отзывается.
После получения такого сообщения обработка персональных данных субъекта персональных данных будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации. При этом направление такого сообщения об отзыве согласия на обработку персональных данных также должно считаться уведомлением об одностороннем отказе от исполнения соответствующего договора, стороной которого является субъект персональных данных, и влечет невозможность его исполнения;

6.1.3 получать от Общества подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, сведения о правовых основаниях и целях обработки персональных данных, сведения о применяемых Обществом способах обработки персональных данных, сведения о сроках обработки персональных данных, в том числе о сроках их хранения;

6.1.4. требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки;

6.1.5 принимать предусмотренные законом меры по защите своих прав и законных интересов в отношении обработки персональных данных.

6.2 Права субъекта персональных данных могут быть ограничены в соответствии с требованиями законодательства Российской Федерации и (или) в случаях, когда Общество осуществляет обработку персональных данных на иных правовых основаниях, нежели согласие субъекта персональных данных.

7. Обязанности Общества

7.1 В соответствии с требованиями законодательства о персональных данных Общество обязано:

7.1.1 предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение десяти рабочих дней дней с даты получения запроса субъекта персональных данных;

7.1.2 по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих эти факты;

7.1.2 в случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных;

7.1.3 в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональных данных в срок, не превышающий тридцати дней с даты поступления указанного отзыва;

7.1.4 при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

8. Защита персональных данных

8.1 Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и (или) несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2 К таким мерам, в частности, относятся:

8.2.1 назначение лица, ответственного за организацию обработки персональных данных;

8.2.2 разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;

8.2.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

8.2.4. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;

8.2.5 оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства о персональных данных, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;

8.2.6 соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;

8.2.7. ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных;

8.2.8 ограничение и регламентация состава работников Общества, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

8.2.9 строгое избирательное и обоснованное распределение документов и информации между работниками Общества;

8.2.10 рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;

8.2.11 установление персональной ответственности работников Общества, участвующих в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных;

8.2.12 определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

8.2.13 исключение бесконтрольного пребывания посторонних лиц в помещениях Общества, в которых ведется обработка персональных данных и находятся соответствующие технические средства и системы обработки информации персональных данных;

8.2.14 организация порядка уничтожения персональных данных;

8.2.15 ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональные данные;

8.2.16 создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лиц, пытающихся совершить несанкционированный доступ к персональным данным.

9. Сроки обработки (хранения) персональных данных

9.1 Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договоров с субъектами персональных данных и требованиями действующего законодательства Российской Федерации.

9.2 Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством Российской Федерации. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.

Политика обработки персональных данных.pdf