1.1. Настоящая Политика в отношении обработки персональных данных ООО «Консалтинговое агентство «Д энд К» (далее — Политика Общества) определяет политику в отношении обработки персональных данных (далее — ПДн) и раскрывает сведения о реализованных мерах по защите ПДн.
1.2. Настоящая Политика Общества разработана на основании Конституции РФ, Трудового Кодекса РФ, Гражданского Кодекса РФ, Федерального закона от 27.06.2006 г. №152-ФЗ «О персональных данных» и других нормативных правовых актов РФ.
1.3. Требования настоящей Политики Общества распространяются на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению доступа), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств, и обязательны для исполнения всеми работниками Общества.
1.4. Настоящая Политика Общества подлежит публикации на корпоративном сайте и внутреннем портале Общества с целью обеспечения свободного доступа к документу.
Субъекты персональных данных
2.1. ООО «Консалтинговое агентство «Д энд К» (далее также – «Общество») является оператором ПДн, т.е. юридическим лицом, которое самостоятельно осуществляет обработку ПДн, определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
2.2. В Обществе не собираются и не обрабатываются специальные категории ПДн субъектов ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
2.3. С согласия сотрудника в Обществе обрабатываются биометрические данные субъектов ПДн - сотрудников Общества (фотография сотрудника) с целью размещения на внутреннем портале Общества, идентификации и установления личности сотрудников при осуществлении доступа на территорию Общества и информационного обеспечения производственной деятельности структурных подразделений Общества.
2.4. Общество осуществляет обработку ПДн субъектов следующих категорий:
сотрудники Общества, бывшие сотрудники, кандидаты на замещение вакантных должностей, а также их родственники;
контрагенты Общества (физические лица);
представители, выгодоприобретатели, бенефициары, сотрудники клиентов и контрагентов Общества (юридических и физических лиц).
Цели обработки персональных данных
3.1. Общество осуществляет обработку ПДн в целях:
осуществления и выполнения функций, полномочий и обязанностей, возложенных на Общество законодательством РФ, в том числе связанных с представлением ПДн в налоговые органы, Социальный фонд РФ, а также в иные государственные органы;
регулирования трудовых отношений с сотрудниками Общества (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
предоставления сотрудникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и других видов социального обеспечения;
осуществления и выполнения функций, полномочий и обязанностей, возникающих при заключении и исполнении договоров и иных соглашений по предоставляемым услугам;
в рекламных целях и в целях продвижения продуктов Общества;
обеспечения управления доступом субъектов ПДн на объекты Общества;
реализации прав и законных интересов Общества в рамках ведения видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества;
в целях предоставления обратившимся лицам запрашиваемой информации;
в иных законных целях.
Принципы, условия и порядок обработки персональных данных
4.1. Принципы обработки ПДн:
4.1.1. При обработке ПДн Общество руководствуется следующими принципами:
обработка осуществляется на законной и справедливой основе;
cоблюдение прав субъектов ПДн при обработке их ПДн;
обработка ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка, несовместимая с целями сбора ПДн;
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн;
обработке подлежат только ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям ПДн;
хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
4.2. Условия обработки ПДн:
4.2.1. При обработке ПДн Общество руководствуется следующими условиями:
обработка ПДн с согласия субъекта ПДн на обработку его ПДн;
необходимость достижения целей, предусмотренных международным договором РФ;
осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством РФ на оператора;
обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
исполнение судебных актов, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций в соответствии с законодателством РФ;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц,;
обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания ПДн;
обработка ПДн, полученных в результате обезличивания ПДн, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных законодательством РФ;
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
4.2.2. При обработке ПДн обеспечивается их конфиденциальность, не допускаются условия раскрытия и распространения ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных законодательством РФ.
4.2.3. Все сотрудники Общества, получившие доступ к ПДн, берут на себя обязательства по обеспечению конфиденциальности обрабатываемых ПДн, которые закреплены:
трудовым договором;
соглашением о неразглашении конфиденциальной информации, в том числе ПДн;
должностными инструкциями и локальными нормативными актами по обеспечению защиты ПДн.
4.2.4. При достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также по окончанию сроков хранения ПДн, обрабатываемые данные подлежат уничтожению.
4.3. Для достижения целей обработки ПДн Общество осуществляет такие операции с ПДн как: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПДн.
4.4. Общество осуществляет обработку ПДн, как с использованием средств автоматизации, так и без использования таких средств.
4.5. Обрабатываемые ПДн Общество получает:
непосредственно у самого субъекта ПДн;
от лиц, не являющихся субъектами ПДн;
из общедоступных источников ПДн.
4.6. Общество осуществляет необходимые мероприятия для поддержания достоверности обрабатываемых ПДн.
4.7. В случае предоставления субъектом ПДн информации о неполных, устаревших, недостоверных или незаконно полученных ПДн Общество вносит необходимые изменения, а при необходимости уничтожает или блокирует их, а также уведомляет о своих действиях субъекта ПДн.
4.8. Общество может поручить обработку ПДн другому лицу на основании заключаемого с этим лицом договора (поручения оператора).
4.9. Для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей и для достижения целей Общество предоставляет часть обрабатываемых ПДн:
в Социальный фонд РФ;
в Федеральную налоговую службу РФ;
в Федеральную службу по финансовому мониторингу;
иные органы государственного контроля и надзора;
в банки, оказывающие услуги банковского обслуживания;
в страховые компании, в негосударственные пенсионные фонды;
организациям (юридическим лицам) - партнерам Общества;
в военные комиссариаты;
правоохранительным органам, судам судебной системы РФ (по их запросу);
иностранным регуляторам (по соглашению).
4.10. В Обществе организовано хранение ПДн в течение времени, установленного требованиями законодательства РФ.
4.11. Общество не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
Меры по обеспечению безопасности персональных данных
5.1. Общество принимает все необходимые правовые, организационные и технические меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, от иных неправомерных действий в отношении ПДн, включая, но не ограничиваясь:
в Обществе назначены ответственные за организацию обработки и защиты ПДн, разработаны политика в отношении обработки ПДн (настоящий документ), а также иные локальные документы, устанавливающие процедуры обработки и защиты обрабатываемых ПДн;
система защиты ПДн Общества реализована с применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
ввод в эксплуатацию новых информационных систем ПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности ПДн;
в Обществе разграничены и регламентированы правила доступа к ПДн, обрабатываемым в информационной системе ПДн с регистрацией и учетом всех действий, совершаемых с ПДн;
в Обществе осуществляются мероприятия по информированию и обучению персонала правилам обработки и защиты ПДн;
в Обществе регулярно проводится анализ объективного перечня условий и факторов, создающих угрозы безопасности ПДн при их обработке в информационных системах ПДн;
в Обществе систематически осуществляется контроль соответствия обработки ПДн требованиям законодательства РФ и локальным нормативным актам.
Права и обязанности субъектов ПДн
6.1. Субъекты ПДн имеют право:
на полную информацию о своих ПДн, обрабатываемых Обществом;
на уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
на отзыв согласия на обработку своих ПДн;
на осуществление иных прав, предусмотренных законодательством РФ.
6.2. Субъекты ПДн обязаны:
предоставить Обществу свои актуальные и достоверные ПДн в соответствии с законодательством РФ и настоящей Политикой Общества;
своевременно информировать Общество об изменениях своих ПДн;
обеспечить конфиденциальность ПДн других субъектов ПДн в соответствии с требованиями законодательства РФ и других нормативных документов Общества.
Заключительные положения
7.1. Пересмотр положений настоящей Политики Общества осуществляется на регулярной основе, но не реже одного раза в три года.
7.2. Внеплановый пересмотр настоящей Политики Общества осуществляется в случае изменения законодательства РФ в области обработки ПДн.
7.3. Настоящая Политика Общества, а также изменения и дополнения в нее утверждаются и вводятся в действие приказом Генерального директора Общества
7.4. Настоящая Политика Общества распространяется на отношения в области обработки ПДн, возникшие у Общества как до, так и после утверждения настоящей Политики Общества.