Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика разработана в соответствии с положениями Конституции РФ, Трудового кодекса РФ, Федерального закона «О персональных данных», Федерального закона «Об информации, информационных технологиях и о защите информации» и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных.

1.2. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в ООО «МастерПрофи» (далее — Организация) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

1.3. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации к защите конфиденциальной информации.

2. Понятие и состав персональных данных

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
— персональные данные работников Организации — информация, необходимая Организации в связи с трудовыми отношениями;
— персональные данные лиц, ищущих работу, обратившихся в Организацию – информация, необходимая Организации для оценки соответствия данных лиц требованиям для целей трудоустройства, в соответствии с действующим законодательством;
— персональные данные клиента или иного контрагента, а также персональные данные руководителя, участника (акционера), работника или представителя юридического лица, являющегося клиентом или контрагентом Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с клиентом (контрагентом);
— персональные данные потенциального клиента или иного потенциального контрагента, а также персональные данные руководителя, участника (акционера), работника или представителя юридического лица, являющегося потенциальным клиентом или потенциальным контрагентом Организации — информация, необходимая Организации для выполнения своих обязательств в рамках отношений, возникающих в связи с переговорами о заключении договора с потенциальным клиентом или потенциальным контрагентом. 

3. Цели и условия обработки персональных данных

3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.2. Целями обработки персональных данных являются:
— рассмотрение возможности заключения трудового договора с субъектом персональных данных;
— регулирование трудовых отношений Организации и субъекта персональных данных в соответствии с нормами законодательства (в частности, организация кадрового учета, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении, повышении в должности, исполнение трудового, налогового и пенсионного законодательства РФ),
— контроль надлежащего исполнения работниками трудовых обязанностей, в т.ч. количества и качества выполняемой работы, соблюдения требований трудового распорядка и трудовой дисциплины, требований по охране труда и обеспечению безопасности труда;
— подготовка доверенностей, обеспечение пропускного и внутриобъектового режимов в помещении Организации, ведение корпоративных телефонных и иных информационных справочников, проведение мероприятий по урегулированию жалоб, претензий и споров,
— подготовка, заключение, исполнение и прекращение гражданско-правовых договоров;
— предоставление информации об оказываемых Организацией услугах, проводимых акциях и мероприятиях (при наличии согласия на ее получение);
— проведение опросов, статистических и иных исследований;
— передача Организацией персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством;
— регистрация на сайтах и в информационных системах для предоставления доступа к отдельным их разделам, установления обратной связи для исполнения условий заключенных договоров;
— в иных законных целях.

3.3. Обработка персональных данных в Организации допускается при соблюдении следующих условий:
— обработка персональных данных осуществляется с согласия субъекта персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
— обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

3.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Организации не осуществляется.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

4.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.3. Право доступа для обработки персональных данных имеют работники Организации в соответствии с возложенными на них должностными обязанностями.

4.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.6. Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Организацией, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

5. Перечень действий с персональными данными и способы их обработки.

5.1. Организация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.2. Обработка персональных данных в Организации осуществляется следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно – телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.

6. Требования по защите персональных данных

6.1. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2. Меры по защите персональных данных включают:
— назначение лица, ответственного за организацию обработки персональных данных в Организации;
— издание внутренних документов Организации по вопросам обработки персональных данных и доведение их положений до сведения работников;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
— установление правил доступа к персональным данным, обрабатываемым в информационных системах, мониторинг действий с персональными данными;
— получение согласия на обработку персональных данных;
— контроль за принимаемыми мерами по защите персональных данных, проверка эффективности принятых мер, реагирование на инциденты;
— иные меры, предусмотренные действующим законодательством. 

7. Права субъекта персональных данных

Субъект персональных данных имеет право:

7.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Организацией способы обработки персональных данных;
— наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

7.2. Требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

7.4. Обжаловать в суд любые неправомерные действия или бездействие Организации при обработке и защите его персональных данных.

8. Обязанности Организации

Организация обязуется:

8.1. Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

8.3. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

8.4. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:
— определение угроз безопасности информации, содержащей персональные данные, при ее обработке;
— применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;
— оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей информации, содержащей персональные данные;
— обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;
— контроль за принимаемыми мерами.

9. Обязанности и ответственность работников Организации

9.1. Работники Организации, допущенные к обработке персональных данных, обязаны:
— знать и неукоснительно выполнять требования настоящей Политики;
— обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
— не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
— пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
— выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
— хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Организации.

9.2. Работникам Организации, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

9.3. Каждый новый работник Организации, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

9.4. Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско – правовую, административную или уголовную ответственность.

10. Заключительные положения

10.1. Действующая редакция Политики на бумажном носителе хранится в офисе Организации. 

10.2. Электронная версия действующей редакции Политики общедоступна на сайте Организации в сети Интернет masterprofi.net