1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон о персональных данных) и другими нормативными актами, регулирующими обработку и защиту персональных данных в РФ.
1.2. Оператором персональных данных является общество с ограниченной ответственностью "КОМПЛЕКТ" (ООО "КОМПЛЕКТ"), расположенное по адресу: Московская обл, Мытищи г, Олимпийский пр-кт, дом № 40, корпус 3, офис 54.
1.3. Целью настоящего Положения является установление порядка сбора, обработки, хранения, защиты и передачи персональных данных различных категорий субъектов персональных данных для обеспечения их конфиденциальности, безопасности и соблюдения требований применимого законодательства в процессе осуществления деятельности ООО "КОМПЛЕКТ".
1.4. Персональные данные (ПДн) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.5. Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), которые совершаются с использованием средств автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.1.6. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения в качестве оператора персональных данных выступает ООО "КОМПЛЕКТ" (далее – Оператор).
1.7. Субъект персональных данных – это физическое лицо, персональные данные которого обрабатываются Оператором. В рамках настоящего Положения субъектами персональных данных являются работники, бывшие работники, кандидаты на вакантные должности, представители юридических лиц – контрагентов, клиенты, пользователи веб-сайта ООО "КОМПЛЕКТ" и иные лица (включая индивидуальных предпринимателей), данные которых обрабатываются Оператором в рамках осуществляемой деятельности.
1.8. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2. Принципы обработки персональных данных в ООО "КОМПЛЕКТ"
Обработка персональных данных в ООО «КОМПЛЕКТ» осуществляется на основе следующих принципов, изложенных в статье 5 Закона о персональных данных:
2.1. Законность и справедливость: обработка персональных данных осуществляется на законной и справедливой основе.
2.2. Соответствие целей: обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3. Недопустимость объединения баз данных: не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.4. Соответствие персональных данных целям их обработки: обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5. Соответствие объема и характера: объем и характер обрабатываемых персональных данных, способы обработки персональных данных соответствуют целям обработки персональных данных.
2.6. Точность и актуальность: при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных данных.
2.7. Соблюдение формы и ограничение срока хранения: хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. Цели обработки персональных данных
Обработка персональных данных в ООО "КОМПЛЕКТ" осуществляется в следующих целях:
3.1. В отношении работников (включая бывших работников) и кандидатов на вакантные должности:
· обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
· заключение, исполнение и прекращение трудовых договоров, регулирование трудовых отношений;
· ведение кадрового делопроизводства, включая учет рабочего времени, отпусков, командировок, поощрений и взысканий;
· начисление и выплата заработной платы, компенсаций, пособий, а также осуществление налоговых отчислений и иных обязательных платежей в соответствии с законодательством;
· формирование статистической отчетности.
3.2. В отношении контрагентов (физических лиц, включая индивидуальных предпринимателей), работников и представителей юридических лиц – контрагентов:
· заключение, исполнение и прекращение гражданско-правовых договоров (договоров поставки, оказания услуг, выполнения работ и т. д.);
· проведение взаиморасчетов, выставление счетов, актов, других бухгалтерских документов;
· исполнение обязательств по договорам, включая связь и координацию деятельности.
3.3. В отношении представителей (физических лиц) клиентов (юридических лиц) , а также пользователей веб-сайта:
· заключение и исполнение договоров купли-продажи, оказания услуг и т. д.;
· обработка заказов, доставка товаров, оказание услуг.
3.4. Для всех категорий субъектов:
· выполнение требований законодательства Российской Федерации;
· обеспечение безопасности и функционирования информационных систем и инфраструктуры Оператора;
· осуществление административно-хозяйственной деятельности.
4. Перечень обрабатываемых персональных данных
В ООО «КОМПЛЕКТ» обрабатываются следующие категории персональных данных различных субъектов:
4.1. Работники (включая бывших работников) и кандидаты на вакантные должности:
· общие персональные данные: Ф. И. О. (в т. ч. предыдущие), дата и место рождения, гражданство, паспортные данные, адрес места жительства, контактные данные (телефон, email), сведения о семейном положении, составе семьи, иждивенцах, образовании, квалификации, трудовой деятельности, доходах, ИНН, СНИЛС, данные воинского учета, сведения о наградах;
· специальные категории персональных данных: сведения о состоянии здоровья (в случаях, предусмотренных законодательством РФ для определения возможности выполнения трудовой функции, прохождения обязательных медицинских осмотров). Иные специальные категории (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, сведения об интимной жизни) – сведения не обрабатываются;
· биометрические персональные данные – сведения не обрабатываются.
4.2. Контрагенты ( включая индивидуальных предпринимателей), работники и представители юридических лиц – контрагентов:
· общие персональные данные: Ф. И. О., паспортные данные, ИНН, ОГРНИП (для ИП), банковские реквизиты, адрес регистрации (для ИП), контактные данные (телефон, email, адрес), должность, наименование организации-контрагента (для представителей);
· специальные категории персональных данных – сведения не обрабатываются;
· биометрические персональные данные – сведения не обрабатываются.
4.3. Пользователи веб-сайта:
· общие персональные данные: Ф. И. О., контактные данные (телефон, email).
· специальные категории персональных данных – сведения не обрабатываются;
· биометрические персональные данные – сведения не обрабатываются.
5. Субъекты персональных данных
Субъектами персональных данных, чьи данные обрабатываются ООО "КОМПЛЕКТ" в рамках настоящего Положения, являются:
5.1. Работники ООО "КОМПЛЕКТ" (включая бывших работников).
5.2. Кандидаты на вакантные должности в ООО "КОМПЛЕКТ".
5.3. Контрагенты (включая индивидуальных предпринимателей).
5.4. Представители (работники) юридических лиц – контрагентов.
5.5. Пользователи веб-сайта ООО "КОМПЛЕКТ".
5.6. Иные физические лица, чьи персональные данные обрабатываются Оператором в соответствии с целями, указанными в разделе 3 настоящего Положения.
6. Порядок и условия обработки персональных данных
6.1. Способы обработки персональных данных:
· обработка персональных данных осуществляется как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), в соответствии с требованиями законодательства Российской Федерации.
6.2. Срок обработки персональных данных:
· срок обработки персональных данных определяется исходя из целей обработки персональных данных, а также требований законодательства Российской Федерации;
· персональные данные хранятся в течение срока действия соответствующего договора (трудового, гражданско-правового), а также в течение сроков, установленных законодательством Российской Федерации для хранения документов (например, Федеральный закон от 22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации").
· после истечения установленных сроков хранения персональные данные подлежат уничтожению или обезличиванию.
6.3. Условия прекращения обработки персональных данных:
· обработка персональных данных прекращается в следующих случаях:
o достижение целей обработки персональных данных;
o утрата необходимости в достижении целей обработки персональных данных;
o истечение срока действия согласия субъекта персональных данных на обработку его персональных данных (если обработка осуществлялась на основании согласия);
o отзыв согласия субъекта персональных данных на обработку его персональных данных (если обработка осуществлялась на основании согласия);
o выявление неправомерной обработки персональных данных;
o ликвидация или реорганизация ООО "КОМПЛЕКТ";
o иные случаи, предусмотренные законодательством Российской Федерации.
6.4. Порядок получения согласия субъекта на обработку персональных данных:
· обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации (например, для исполнения договора, стороной которого является субъект персональных данных);
· согласие на обработку персональных данных может быть получено в письменной форме, в форме электронного документа или иным способом, позволяющим подтвердить факт его получения (например, проставление отметки на веб-сайте);
· согласие может быть отозвано субъектом персональных данных в любое время путем направления соответствующего письменного заявления Оператору.
6.5. Условия трансграничной передачи персональных данных:
· трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства иностранному государственному органу, иностранному физическому лицу или иностранному юридическому лицу) ООО "КОМПЛЕКТ" не осуществляется.
7. Права субъектов персональных данныхСубъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, а также иные права, предусмотренные ст. 14–17 Закона о персональных данных:
7.1. Право на получение информации: субъект персональных данных имеет право на получение сведений об обработке его персональных данных, включая:
· подтверждение факта обработки персональных данных Оператором;
· правовые основания и цели обработки персональных данных;
· применяемые Оператором способы обработки персональных данных;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· сроки обработки персональных данных, в т. ч. сроки их хранения;
· порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
· наименование или Ф. И. О. и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
7.2. Право на уточнение, блокирование или уничтожение персональных данных: субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.3. Право на отзыв согласия: Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных.
7.4. Право на обжалование действий или бездействия Оператора: субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7.5. Порядок реализации прав: для реализации своих прав субъект персональных данных направляет Оператору запрос в письменной форме по адресу: Московская обл, Мытищи г, Олимпийский пр-кт, дом № 40, корпус 3, офис 54 либо в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
8. Меры по обеспечению безопасности персональных данных
ООО "КОМПЛЕКТ" принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам относятся:
8.1. Назначение ответственного за организацию обработки персональных данных: Назначен сотрудник, ответственный за организацию обработки персональных данных в ООО "КОМПЛЕКТ".
8.2. Применение правовых, организационных и технических мер:
Правовые меры:
- разработка и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных.
Организационные меры:
· определение перечня лиц, имеющих доступ к персональным данным;
· организация режима обеспечения безопасности помещений, в которых обрабатываются персональные данные;
· обеспечение раздельного хранения персональных данных и материальных носителей, не содержащих персональные данные;
Технические меры:
· обеспечение резервного копирования и восстановления персональных данных.
· использование антивирусной защиты;
· организация системы контроля и управления доступом к информационным системам персональных данных.
8.3. Оценка вреда:
Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных.
8.4. Ознакомление работников: работники ООО "КОМПЛЕКТ", непосредственно осуществляющие обработку персональных данных, ознакомляются с положениями законодательства Российской Федерации о персональных данных, в т. ч. требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучены.
8.5. Определение угроз безопасности: определяются актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
8.6. Обнаружение фактов несанкционированного доступа: осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их пресечению.
8.7. Восстановление персональных данных: обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.8. Контроль за принимаемыми мерами: осуществляется постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9. Ответственность
9.1. За нарушение требований законодательства Российской Федерации о персональных данных и настоящего Положения к виновным лицам (работникам ООО "КОМПЛЕКТ" и самой Организации) применяются меры дисциплинарной, административной, гражданско-правовой ответственности в соответствии с действующим законодательством Российской Федерации.
9.2. Ответственность за организацию обработки персональных данных в ООО "КОМПЛЕКТ" возлагается на назначенного ответственного сотрудника.
10. Заключительные положения
10.1. Настоящее Положение утверждается генеральным директором ООО "КОМПЛЕКТ" и подлежит обязательному ознакомлению всех работников, а также доведению до сведения иных категорий субъектов персональных данных в соответствии с применимым законодательством.
10.2. Изменения и дополнения в настоящее Положение вносятся по решению руководства Организации с учетом изменений в законодательстве Российской Федерации, а также по результатам анализа практики применения настоящего Положения.