1.1.
Настоящая политика Общества с ограниченной ответственностью «СТЕТОМ» об обработке персональных данных (далее – «Политика») регулирует деятельность Общества с ограниченной ответственностью «СТЕТОМ» (далее – «Общество») в области обработки и защиты персональных данных.
1.2.
Политика определяет принципы, условия, цели и способы обработки Обществом персональных данных, категории и состав персональных данных, обрабатываемых Обществом, перечни субъектов персональных данных, обрабатываемых Обществом, функции Общества при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.
1.3.
Настоящая Политика разработана с учетом требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных, а также в соответствии с Уставом Общества.
1.4.
Срок действия Политики – бессрочно, до замены новой Политикой.
2.1.
Для целей Политики используются следующие основные термины:
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники;
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
«Информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
«Контрагент» – одна из сторон договора в гражданско-правовых отношениях;
«Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
«Обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), включая трансграничную передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
«Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
«Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
«Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.2.
Иные термины использованы в Политике в том значении, которое им дано в действующем законодательстве Российской Федерации.
3.1.
Общество обрабатывает персональные данные в соответствии со следующими принципами:
3.1.1. обработка персональных данных осуществляется Обществом на законной и справедливой основе;
3.1.2. обработка Обществом персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
3.1.3. Обществом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
3.1.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;
3.1.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки;
3.1.6. при обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки;
3.1.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, и не дольше, чем того требуют цели обработки персональных данных, если их срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по факту достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2.
Общество обрабатывает персональные данные в соответствии с условиями, предусмотренными действующим законодательством Российской Федерации.
3.3.
Обработка Обществом персональных данных субъектов персональных осуществляется в целях:
3.3.1. обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;
3.3.2. регулирования трудовых отношений с работниками Общества (в том числе, содействие работникам и кандидатам в трудоустройстве, обучении, продвижении по службе; оценка, контроль количества и качества выполняемой работы, соблюдение положений трудового законодательства Российской Федерации и иных актов, содержащих нормы трудового права), а также обеспечения личной безопасности работников Общества и обеспечения сохранности имущества Общества;
3.3.3. осуществления прав и законных интересов, а также исполнения обязанностей Общества в рамках осуществления видов деятельности, предусмотренных уставом и локальными нормативными актами Общества;
3.3.4. заключения и исполнения гражданско-правовых договоров, в том числе для оказания юридических услуг на основании таких договоров, реагирования на запросы действующих или потенциальных клиентов и контрагентов, создания отчетов об оказанных услугах и исполнения договоров на оказание юридических и иных связанных с ними услуг;
3.3.5. соблюдения и исполнения требований действующего законодательства Российской Федерации, включая, но не ограничиваясь, осуществление бухгалтерского и налогового учета, организацию документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных и т.д.;
3.3.6. обеспечения допуска субъектов персональных данных в офис Общества и проведения встреч и переговоров;
3.3.7. информационных, рекламных, маркетинговых и иных целях, направленных на осуществление и продвижение деятельности Общества;
3.3.8. защиты жизни, здоровья и иных жизненно-важных интересов работников Общества, контрагентов и прочих субъектов персональных данных;
3.3.9. проверки благонадежности контрагентов;
3.3.10. проведения специальной оценки условий труда;
3.3.11. в иных законных целях.
4.1.
Общество обрабатывает следующие персональные данные:
4.1.1. фамилия, имя, отчество; прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения);
4.1.2. год, месяц, дата и место рождения, пол;
4.1.3. гражданство;
4.1.4. адрес регистрации по месту жительства и адрес фактического проживания; дата регистрации по месту жительства; адрес электронной почты;
4.1.5. паспортные данные;
4.1.6. данные водительского удостоверения;
4.1.7. данные документа, удостоверяющего личность за пределами Российской Федерации;
4.1.8. номер страхового свидетельства государственного пенсионного страхования;
4.1.9. идентификационный номер налогоплательщика;
4.1.10. сведения об образовании, повышении квалификации / переподготовке / аттестации (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому), профессии;
4.1.11. сведения об ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов);
4.1.12. сведения о месте работы, включая предыдущие местах работы, о трудовом и общем стаже;
4.1.13. сведения о доходах (в том числе с предыдущих мест работы);
4.1.14. сведения о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);
4.1.15. информация о государственных наградах, иных наградах и знаках отличия (кем и когда награжден);
4.1.16. информация о владении иностранными языками, степень владения;
4.1.17. отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
4.1.18. сведения о семейном положении;
4.1.19. сведения о состоянии здоровья;
4.1.20. сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения);
4.1.21. наличие судимостей, в том числе погашенных;
4.1.22. номера домашнего и мобильного телефонов;
4.1.23. содержание условий трудового договора и их изменение, личного дела и трудовой книжки;
4.1.24. сведения о заработной плате;
4.1.25. реквизиты и номера расчетных счетов, банковских карт;
4.1.26. степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.1.27. места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.1.28. характеристики, которые идентифицируют физиологические особенности человека и на основе которых можно установить его личность;
4.1.29. фотографии;
4.1.30. пребывание за границей (когда, где, с какой целью).
5.1.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5.1.1. подтверждение факта обработки персональных данных Обществом;
5.1.2. правовые основания и цели обработки персональных данных;
5.1.3. цели и применяемые Обществом способы обработки персональных данных;
5.1.4. наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
5.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
5.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
5.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
5.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
5.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
5.1.10. информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
5.1.11. иные сведения, предусмотренные действующим законодательством Российской Федерации.
5.2.
Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3.
Субъект персональных данных имеет право получить информацию, касающейся обработки его персональных данных посредством личного обращения в Общество или путем направления письменного запроса на почтовый адрес Общества: 119021, Российская Федерация, город Москва, вн.тер.г. муниципальный округ Хамовники, пер. Олсуфьевский, д. 8 стр. 3, этаж 2 помещ. I, ком. 15 или на адрес электронной почты Общества: office@stetom.ru.
5.5.
Субъект персональных данных при обращении к Обществу в целях реализации прав, предусмотренных пунктами 4.1 – 4.3 вправе действовать лично или через своего представителя по доверенности при наличии одного из следующих документов:
5.5.1. нотариально удостоверенной доверенности представителя субъекта на получение персональных данных субъекта; или;
5.5.2. письменного запроса субъекта, написанного в присутствии Ответственного лица (как этот термин определен далее). Если запрос написан не в присутствии Ответственного лица, то оно должно быть нотариально удостоверено.
5.6.
Субъект персональных данных имеет иные права и несет обязанности, предусмотренные действующим законодательством Российской Федерации и настоящим Политикой.
6.1.
В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных Общество соблюдает следующие требования:
6.1.1. обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
6.1.2. все персональные данные следует получать у самого субъекта персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
6.1.3. при принятии решений, затрагивающих интересы субъекта персональных данных, Общество не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения;
6.1.4. защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Общества за счет его средств в порядке, установленном законодательством Российской Федерации;
6.1.5. Общество обязуется взаимодействовать с уполномоченным органом государственной власти по защите прав субъектов персональных данных в целях обеспечения безопасности обрабатываемых персональных данных.
6.2.
Общество имеет права и несет иные обязанности, предусмотренные действующим законодательством Российской Федерации и настоящей Политикой.
7.1.
Общество принимает необходимые и достаточные меры для обеспечения выполнения обязанностей оператора персональных данных в соответствии с законодательством Российской Федерации. К таким мерам относятся:
7.1.1. назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных (далее – «Ответственное лицо»);
7.1.2. принятие локальных нормативных актов и иных документов Общества в области обработки и защиты персональных данных;
7.1.3. осуществление не реже одного раза в год внутреннего аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
7.1.4. проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
7.1.5. ознакомление работников Общества осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
7.1.6. по возможности обезличивание обрабатываемых персональных данных при их передаче контрагентам, в том числе поставщикам услуг, заказчикам, клиентам и иным третьим лицам;
7.1.7. организация порядка уничтожения информации.
7.2.
Общество обеспечивает защиту и безопасность персональных данных путем применения необходимых мер правового, организационного и технического характера в соответствии с ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
7.3.
К мерам правового характера относятся:
7.3.1. разработка Обществом локальных нормативных актов, устанавливающих требования и порядок обработки персональных данных;
7.3.2. отказ Общества от способов обработки персональных данных, не соответствующих требованиям законодательства;
7.3.3. ов случае поручения обработки персональных данных третьим лицам Общество соблюдает соответствующие положения законодательства Российской Федерации в области персональных данных.
7.4.
К мерам организационного характера относятся:
7.4.1. регламентация процессов обработки персональных данных в Обществе;
7.4.2. составление и обновление по мере необходимости перечня работников Общества, имеющих доступ к персональным данным, и организация разрешительной системы доступа к ним;
7.4.3. ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и локальных нормативных актов Общества по вопросам обработки персональных данных;
7.4.4. контроль допуска посторонних лиц в помещения Общества с целью недопущения их нахождения в помещениях, в которых ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества;
7.4.5. учет автоматизированных средств, используемых работниками Общества, допущенными к работе с персональными данными;
7.4.6. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
7.4.7. опубликование Политики Общества в отношении обработки персональных данных на вебсайте Общества.
7.5.
К мерам технического характера относятся:
7.5.1. использование специальных средств защиты данных при их автоматизированной обработке;
7.5.2. регулярные обновления программных средств, для сокращения вероятности утечки персональных данных;
7.5.3. использование защищенных протоколов передачи данных;
7.5.4. проведение регулярных аудитов прав доступа в Информационные системы персональных данных и к Сетевому диску;
7.5.5. использование средств, направленных на защиту от установки вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной системы Общества, использующейся для работы с персональными данными;
7.5.6. предупреждение попыток несанкционированного подключения к информационной системе Общества, в результате которых возможно нарушение установленных требований по обеспечению безопасности персональных данных;
7.5.7. организация режима обеспечения безопасности помещений Общества, в которых размещены Информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
7.5.8. обеспечение сохранности любых носителей персональных данных;
7.5.9. удаление и (или) блокирование учетных записей работников Общества, допущенных к работе с персональными данными, в случае прекращения с ними трудовых договоров;
7.5.10. отслеживание действий работников Общества, допущенных к работе с персональными данными, в случае выявления ими нарушений – проведение разбирательств по фактам нарушений требований безопасности в работе с персональными данными.
7.6.
В соответствии с пунктом 7.1.4 настоящей Политики Общество проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и фиксирует результат путем составления соответствующего акта.
8.1.
По всем обращениям субъекты персональных данных вправе обратиться в Общество посредством личного обращения в Общество или путем направления письменного запроса на почтовый адрес Общества: 119021, Российская Федерация, город Москва, вн.тер.г. муниципальный округ Хамовники, пер. Олсуфьевский, д. 8 стр. 3, этаж 2 помещ. I, ком. 15 или на адрес электронной почты Общества: office@stetom.ru.
8.2.
Все полученные обращения Общество рассматривает в срок, установленный Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».