Политика общества с ограниченной ответственностью "Элемент Групп" в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика общества с ограниченной ответственностью "Элемент Групп" в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну[cite: 13, 14, 15].

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью "Элемент Групп" (далее — Оператор, ООО "Элемент Групп")[cite: 16].

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики[cite: 17].

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора[cite: 18].

1.5. Основные понятия, используемые в Политике:

• персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[cite: 20];
• оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными[cite: 21];
• обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение[cite: 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36];
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники[cite: 37];
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц[cite: 38];
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц[cite: 39];
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)[cite: 40];
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных[cite: 41];
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных[cite: 42];
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств[cite: 43].

1.6. Основные права и обязанности Оператора.

1.6.1. Оператор имеет право:

1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами[cite: 46];
2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных[cite: 47, 48];
3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных[cite: 49].

1.6.2. Оператор обязан:

1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных[cite: 51];
2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных[cite: 52];
3. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней[cite: 53, 54, 55];
4. обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах[cite: 56].

1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами[cite: 57, 58, 59];
2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки[cite: 60];
3. дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг[cite: 61];
4. обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора[cite: 62].

1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора[cite: 63].

1.9. Ответственность за нарушение требований законодательства РФ определяется в соответствии с законодательством Российской Федерации[cite: 64].

2. Цели обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей[cite: 66, 67].

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки[cite: 68].

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

• осуществление своей деятельности в соответствии с уставом ООО "Элемент Групп", в том числе заключение и исполнение договоров с контрагентами[cite: 70];
• исполнение трудового законодательства (трудоустройство, обучение, безопасность, кадровый и бухучет, отчетность и др.)[cite: 71];
• осуществление пропускного режима[cite: 72].

2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов[cite: 73].

3. Правовые основания обработки персональных данных

3.1. Правовым основанием является совокупность нормативных правовых актов, включая Конституцию РФ, ГК РФ, ТК РФ, НК РФ, ФЗ "Об обществах с ограниченной ответственностью", ФЗ "О бухгалтерском учете", ФЗ "Об обязательном пенсионном страховании" и иные акты[cite: 75, 76, 77, 78, 79, 80, 81, 82, 83].

3.2. Также основаниями являются устав ООО "Элемент Групп", договоры с субъектами и согласие субъектов на обработку[cite: 84, 85, 86, 87].

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем данных должны соответствовать заявленным целям и не быть избыточными[cite: 89, 90].

4.2. Категории субъектов и состав данных:

4.2.1. Кандидаты для приема на работу: ФИО, пол, гражданство, дата/место рождения, контакты, образование/опыт и иные данные из резюме[cite: 92, 93, 94, 95, 96, 97, 98, 99].

4.2.2. Работники и бывшие работники: ФИО, пол, гражданство, дата/место рождения, фото, паспортные данные, адреса, контакты, ИНН, СНИЛС, сведения об образовании, семейном положении, трудовой деятельности, воинском учете, инвалидности и др.[cite: 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120].

4.2.3. Члены семьи работников: ФИО, степень родства, год рождения и иные данные согласно ТК РФ[cite: 121, 122, 123, 124, 125].

4.2.4. Клиенты и контрагенты (физические лица): ФИО, дата/место рождения, паспортные данные, адрес регистрации, контакты, должность, ИНН, расчетный счет и иные данные для договоров[cite: 126, 127, 128, 129, 130, 131, 132, 133, 134, 135].

4.3. Обработка специальных категорий данных (раса, политика, религия, здоровье и др.) не осуществляется, кроме случаев, предусмотренных законодательством РФ[cite: 136, 137].

5. Порядок и условия обработки персональных данных

5.1. Обработка осуществляется в соответствии с требованиями законодательства РФ[cite: 139].

5.2. Обработка осуществляется с согласия субъектов или без него в предусмотренных законом случаях[cite: 140].

5.3. Способы обработки: неавтоматизированная, автоматизированная, смешанная[cite: 141, 142, 143, 144].

5.4. К обработке допускаются только работники, в чьи обязанности это входит[cite: 145].

5.5. Сбор осуществляется непосредственно от субъектов, данные вносятся в журналы, реестры и системы[cite: 146, 147, 148].

5.6. Раскрытие третьим лицам без согласия не допускается. Согласие на распространение оформляется отдельно по требованиям Роскомнадзора[cite: 149, 150, 151, 152].

5.7. Передача данных в госорганы (СФР, ФНС и др.) осуществляется согласно закону[cite: 153, 154].

5.8. Оператор принимает правовые, организационные и технические меры защиты (назначение ответственных, обучение, учет документов, ограничение доступа)[cite: 155, 156, 157, 158, 159, 160, 161, 162, 163].

5.9. Хранение осуществляется не дольше, чем требуют цели обработки или закон[cite: 164].

5.10. Обработка прекращается при выявлении неправомерности, достижении целей или отзыве согласия[cite: 167, 168, 169, 170].

5.12. Срок прекращения обработки по требованию субъекта — 10 рабочих дней (с возможностью продления на 5 дней)[cite: 176, 177, 178].

5.13. Оператор обеспечивает использование баз данных на территории РФ[cite: 179, 180].

6. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Сведения по запросу субъекта предоставляются в течение 10 рабочих дней (продление до 5 дней). Запрос должен содержать паспортные данные, подтверждение связи с Оператором и подпись[cite: 181, 183, 184, 185, 186, 187, 189, 190, 191, 192].

6.2. Неточные данные блокируются на период проверки и уточняются в течение 7 рабочих дней[cite: 198, 199, 200].

6.4. При инцидентах утечки Оператор уведомляет Роскомнадзор: в течение 24 часов о самом факте, в течение 72 часов о результатах расследования[cite: 202, 203, 204, 205].

6.5. Порядок уничтожения персональных данных Оператором.

6.5.1. Условия и сроки уничтожения:

• достижение цели или утрата необходимости — 30 дней[cite: 208];
• истечение сроков хранения документов — 30 дней[cite: 209];
• подтверждение незаконности получения — 7 рабочих дней[cite: 210];
• отзыв согласия — 30 дней[cite: 211].

6.5.3. Уничтожение осуществляет ответственный сотрудник, назначенный приказом генерального директора ООО "Элемент Групп"[cite: 215].

6.5.4. Способы уничтожения устанавливаются в локальных нормативных актах Оператора[cite: 216].

Соглашение на обработку персональных данных

3780 Кб