1. ОБЩИЕ ПОЛОЖЕНИЯНастоящая политика обработки персональных данных (редакция № 2 от 30.04.2019) составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Обществом с ограниченной ответственностью «АДЭКС», ОГРН 1227800060036, ИНН 7804693037, место нахождения: Санкт-Петербург, Торфяная дорога, дом 7 литера Ф, офис 919 (далее – Компания).
Компания ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни.
Настоящая политика Компании в отношении обработки персональных данных (далее – Политика) распространяется на все операции, совершаемые Компанией с персональными данными физических лиц, как с использованием средств автоматизации, так и без их использования.
Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
2. ОСНОВНЫЕ ПОНЯТИЯ2.1. Основные понятия, используемые в настоящей Политике в отношении обработки персональных данных:
2.1.1.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (гражданину), т.е. к такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты для связи, паспортные данные, ИНН, СНИЛС, а также другая информация.
2.1.2.
Безопасность персональных данных - защищенность персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.1.3.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.1.4.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.1.5.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации.
2.1.6.
Смешанная обработка персональных данных - обработка определенной группы персональных данных осуществляется с использованием средства автоматизации и без использования данных средств.
2.1.7.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.8.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.9.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.1.10.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1.11.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.12.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПАНИИ3.1. Политика обработки персональных данных в Компании определяется в соответствии со следующими нормативными правовыми актами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Компанией производится обработка персональных данных следующих категорий субъектов персональных данных:
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с Компанией;
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Компании;
- физические лица, являющиеся кандидатами на замещение вакантных должностей в Компании;
- физические лица, являющиеся родственниками работников Компании, в пределах, определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
- физические лица, входящие в органы управления Компанией и не являющиеся работниками Компании.
4.2. Обработка персональных данных Компанией осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется Компанией на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компанией принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2. 4.3. Персональные данные обрабатываются Компанией в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- поиска кандидатов на вакантные должности и проведения мероприятий в целях рассмотрения кандидатур на вакантные должности;
- регулирования трудовых отношений с работниками Компании (начисление заработной платы и иных выплат работникам Компании, обучение и продвижение по службе, направление в командировки, на семинары, трекинги и т.п., обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, регулирование взаимодействия между работниками Компании в процессе их трудовой деятельности, выполнение иных обязательств, вытекающих из трудовых отношений с работниками Компанией);
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании;
- исполнения актов органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей;
- в иных законных целях.
5. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ КОМПАНИЕЙ5.1. Перечень персональных данных, обрабатываемых Компанией, определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами Компании, согласиями субъектов персональных данных на их обработку с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Компанией не осуществляется.
6. УСЛОВИЯ И СРОКИ ОБРАБОТКИ КОМПАНИЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Обработка персональных данных Компанией осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
6.2. Компания без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
6.3. Компания поручает обработку персональных данных субъектов персональных данных третьим лицам на основании заключенных с этими лицами договоров с письменного согласия субъектов персональных данных. Требования действующего законодательства к содержанию договора с лицом, осуществляющим обработку персональных данных по поручению, соблюдаются Компанией.
6.4. В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
6.5. Доступ к обрабатываемым в Компании персональным данным разрешается только работникам Компании, занимающим определенные должности, установленные внутренними локальными актами Компании.
6.6. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в частности, относятся:
- назначение лица, ответственного за организацию обработки персональных данных;
- разработка и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных, если хранение персональных данных осуществляется на машинных носителях;
6) принятие мер по недопущению несанкционированного доступа к персональным данным, а также организация выявления подобных фактов;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства РФ о защите персональных данных, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих их сохранность;
- ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных, и обучение работников Компании.
6.7. Сроки обработки (хранения) персональных данных.
6.7.1. Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом данных, требованиями законодательства РФ, основными правилами работы архивов организаций, сроками исковой давности.
6.7.2. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством РФ. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.
7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ7.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
7.2. Обработка персональных данных в Компании осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ8.1. Субъекты персональных данных имеют право на:
- полную информацию об их персональных данных, обрабатываемых Компанией;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ9.1. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись по адресу место нахождения Компании: Санкт-Петербург, Торфяная дорога, дом 7 литера Ф, офис 919 или с помощью электронной почты: adexsoftware@gmail.com
9.2. В данном документе будут отражены любые изменения политики обработки персональных данных Компании. Политика действует бессрочно до замены ее новой версией.
9.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://adexsoft.ru/personal-data-policy.