Политика безопасности персональных данных ООО «Элма»
1. Общие положения
1.1. Данный документ определяет политику ООО «Элма» (далее
Компания) в отношении обработки персональных данных и излагает
систему основных принципов в отношении обработки персональных
данных.
1.2. Цель настоящей Политики - обеспечение защиты прав и
свобод субъекта при обработке его персональных данных.
1.3. Политика разработана в соответствии с законодательством
Российской Федерации, в том числе Федеральным Законом от
25.07.2006 No152 «О персональных данных». ВПолитике
используются термины иопределения всоответствии сих
значениями, как они определены в Федеральном Законе от
25.07.2006 No152 «О персональных данных».
1.4. Политика служит основой дляразработки локальных
нормативных актов, регламентирующих в Компании вопросы
обработки персональных данных работников Компании и других
субъектов персональных данных.
1.5. Политика распространяется на всех сотрудников Компании
(включая работников по трудовым договорам и сотрудников,
работающих по договорам подряда) и все структурные
подразделения Компании, включая обособленные подразделения.
Требования Политики также учитываются и предъявляются в
отношении иных лиц при необходимости их участия в процессе
обработки персональных данных Оператором, а также в случаях
передачи им в установленном порядке персональных данных на
основании соглашений, договоров, поручений на обработку.
1.6. В случаях, не предусмотренных явно действующим
законодательством или договором, обработка осуществляется
после получения согласия субъекта персональных данных.
Согласие может быть выражено вформе совершения действий,
принятия условий договора-оферты, проставления соответствующих
отметок, заполнения полей в формах, бланках, или оформлено в
письменной форме в соответствии с законодательством.
1.7. Политика действует бессрочно после утверждения и до ее
замены новой версией.
2. Обработка Персональных Данных
2.1. Компания осуществляет обработку персональных данных на
основании:
2.1.1. Конституции РФ;
2.1.2. Гражданского кодекса;
2.1.3. Трудового кодекса;
2.1.4. Налогового кодекса;
2.1.5. Федерального закона от 27.07.2006 No 152-ФЗ в
пунктах 1, 2, 5 части 1 статьи 6;
2.1.6. Федеральный закон от 06.04.2011г. No 63-ФЗ «Об
электронной подписи»;
2.1.7. Федеральный закон от 24.07.2009г. No 212-ФЗ «О
страховых взносах в Пенсионный Фонд РФ, Фонд социального
страхования РФ, Федеральный Фонд обязательного
медицинского страхования и территориальные фонды
обязательного медицинского страхования»;
2.1.8. Федеральный закон от 22.10.2004г. No 125-ФЗ «Об
архивном деле в РФ»;
2.1.9. Закон РФ от 10.07.1992г. No 3266-1 «Об
образовании»;
2.1.10. Устав ООО «Элма»;
2.2. Персональные данные обрабатываются Компанией в целях:
2.2.1. Оформления трудовых и иных договорных отношений,
кадрового, бухгалтерского, налогового учета, а также в
целях организации и проведения Компанией, (в т.ч. с
привлечением третьих лиц) программ лояльности,
маркетинговых и/или рекламных акций, исследований, опросов
и иных мероприятий;
2.2.2. Исполнения Компанией обязательств в рамках
договоров по поставке продуктов, проведение мероприятий и
оказание любых иных услуг субъектам персональных данных;
2.2.3. Продвижения услуг и/или товаров Компании и/или
партнеров Компании на рынке путем осуществления прямых
контактов с клиентами Компании с помощью различных средств
связи, в т.ч., не ограничиваясь, по телефону, электронной
почте, почтовой рассылке, в сети Интернет и т.д.;
2.2.4. Защиты жизни, здоровья или иных жизненно важных
интересов субъектов персональных данных, обеспечения
пропускного и внутриобъектового режимов на территории
Компании;
2.2.5. Формирования справочных материалов для внутреннего
информационного обеспечения деятельности Компании, её
филиалов и представительств;
2.2.6. Исполнения судебных актов, актов других органов или
должностных лиц, подлежащих исполнению в соответствии с
законодательством Российской Федерации об исполнительном
производстве;
2.2.7. Осуществление прав и законных интересов Компании в
рамках осуществления видов деятельности, предусмотренных
Уставом и иными локальными нормативными актами Компании,
или третьих лиц либо достижения общественно значимых
целей, или иных целей если действия компании не
противоречит законодательству РФ.
2.3. Компания в процессе обработки осуществляет действия в
отношении персональных данных, которые необходимы или желаемы
для достижения указанных выше целей, включая, без ограничения:
сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в
т.ч. передача), обезличивание, блокирование, уничтожение, а
также осуществление любых иных действий с персональными
данными пользователя с учетом действующего законодательства
РФ.
2.4. Обработка персональных данных вКомпании осуществляется
следующими способами: неавтоматизированная обработка
автоматизированная обработка персональных данных информации по
информационно-телекоммуникационным смешанная обработка
персональных данных. персональных данных, с передачей
полученной сетям или без таковой,
2.5. При обработке обеспечиваются точность персональных
данных, их достаточность и актуальность по отношению к целям
обработки персональных данных. При обнаружении неточных или
неполных персональных данных производится их уточнение и
актуализация.
2.6. Компания в целях надлежащего исполнения своих
обязанностей Оператора обрабатывает персональные данные
следующих категорий субъектов:
2.6.1. Соискатели на замещение вакантных должностей – в
составе и в сроки, необходимые для принятия Компанией
решения о приеме либо отказе в приеме на работу, с
согласия субъектов персональных данных, а также для
формирования кадрового резерва с согласия субъектов
персональных данных.
2.6.2. Работники, состоящие или состоявшие в трудовых
отношениях с Компанией – в составе и в сроки, необходимые
для достижения целей, предусмотренных законодательством
РФ, осуществления и выполнения, возложенных
законодательством РФ на Компанию функций, полномочий и
обязанностей, для формирования кадрового резерва с
согласия субъектов персональных данных.
2.6.3. Родственники работников Компании – в составе и в
сроки, необходимые для осуществления и выполнения,
возложенных законодательством РФ на Компанию функций,
полномочий и обязанностей, осуществления прав и законных
интересов Компании, а также для заключения и исполнения
договора, стороной которого либо выгодоприобретателем или
поручителем по которому является субъект персональных
данных.
2.6.4. Представители поставщиков Компании – в составе и в
сроки, необходимые для осуществления взаимодействия с
поставщиками с согласия субъектов персональных данных.
2.6.5. Представители потенциальных и существующих клиентов
– в составе и в сроки, необходимые для осуществления
взаимодействия с потенциальными и существующими клиентами,
с согласия субъектов персональных данных.
2.6.6. Представители партнеров – в составе и в сроки,
необходимые для осуществления взаимодействия с партнерами,
с согласия субъектов персональных данных.
2.6.7. Иные субъекты персональных данных, являющиеся
стороной, либо выгодоприобретателем или поручителем по
договору заключённого с Компанией;
2.7. Дляуказанных категорий субъектов могут обрабатываться:
фамилия, имя, отчество; год, месяц, дата рождения; место
рождения, адрес; семейное положение; социальное положение;
имущественное положение; образование; профессия; доходы;
паспортные данные; ИНН, СНИЛС, контактная информация (телефон,
адрес электронной почты), иные сведения, предусмотренные
типовыми формами и установленным порядком обработки.
2.8. Персональные данные являются конфиденциальной
информацией. Режим конфиденциальности персональных данных
снимается в случаях обезличивания, общедоступности данных или
иных случаях определенного законодательством РФ.
2.9. Сроки обработки персональных данных определены с учетом:
2.9.1. Установленных целей обработки персональных данных;
2.9.2. Сроков действия договоров с субъектами персональных
данных и согласий субъектов персональных данных на
обработку их персональных данных;
2.9.3. Законодательства РФ в области архивного дела.
2.10. Обрабатываемые персональные данные подлежат уничтожению
либо обезличиванию по достижении целей обработки или в случае
утраты необходимости в достижении этих целей, если иное не
предусмотрено федеральным законом.
2.11. Обрабатываемые персональные данные подлежат уничтожению
либо обезличиванию при наступлении следующий условий:
2.11.1. Достижение целей обработки персональных данных или
максимальных сроков хранения — в течение 30 дней;
2.11.2. Утрата необходимости в достижении целей обработки
персональных данных — в течение 30 дней;
2.11.3. Предоставление субъектом персональных данных или
его законным представителем подтверждения того, что
персональные данные являются незаконно полученными или не
являются необходимыми для заявленной цели обработки — в
течение 7 дней;
2.11.4. Невозможность обеспечения правомерности обработки
персональных данных — в течение 10 дней;
2.11.5. Отзыв субъектом персональных данных согласия на
обработку персональных данных, если сохранение
персональных данных более не требуется для целей обработки
персональных данных — в течение 30 дней;
2.11.6. Отзыв субъектом персональных данных согласия на
использование персональных данных для контактов с
потенциальными потребителями при продвижении товаров и
услуг — в течение 2 дней;
2.11.7. Истечение сроков исковой давности для
правоотношений, в рамках которых осуществляется либо
осуществлялась обработка персональных данных;
2.11.8. Ликвидация (реорганизация) Оператора.
2.12. Компания не осуществляет трансграничную передачу
персональных данных, все персональные данные субъектов
хранятся на территории РФ.
2.13. Компания передаёт персональные данные третьим лицам в
рамках исполнения обязанностей, возложенных на Компанию
законодательством РФ, либо с согласия субъекта персональных
данных.
3. Меры по обеспечению безопасности персональных данных
3.1. Оператор предпринимает необходимые правовые,
организационные итехнические меры дляобеспечения
безопасностиперсональных данных дляих защиты от
несанкционированного (в том числе, случайного) доступа,
уничтожения, изменения, блокирования доступа и других
несанкционированных действий. К таким мерам, в частности,
относятся:
3.1.1. назначение сотрудников, ответственных за
организацию обработки и обеспечение безопасности
персональных данных;
3.1.2. проверка наличия в договорах и включение при
необходимости в договоры пунктов об обеспечении
конфиденциальности персональных данных;
3.1.3. издание локальных актов повопросам обработки
персональных данных, ознакомление с ними работников,
обучение пользователей;
3.1.4. обеспечение физической безопасности помещений
исредств обработки, пропускной режим, охрана,
видеонаблюдение;
3.1.5. ограничение и разграничение доступа сотрудников и
иных лиц к персональным данным и средствам обработки,
мониторинг действий с персональными данными;
3.1.6. определение угроз безопасности персональных данных
при их обработке, формирование на их основе моделей угроз;
3.1.7. применение средств обеспечения безопасности
(антивирусных средств, межсетевых экранов, средств защиты
от несанкционированного доступа, средств криптографической
защиты информации), в том числе прошедших процедуру оценки
соответствия в установленном порядке;
3.1.8. учёт и хранение носителей информации, исключающее
их хищение, подмену, несанкционированное копирование и
уничтожение;
3.1.9. резервное копирование информации для возможности
восстановления;
3.1.10. осуществление внутреннего контроля за соблюдением
установленного порядка, проверка эффективности принятых
мер, реагирование на инциденты.
4. Права и обязанности субъектов персональных данных
4.1. Субъект персональных данных обязан предоставлять Компании
достоверные персональные данные и документы, содержащие
информацию персонального характера, в случаях и порядке,
установленных Трудовым кодексом РФ, ФЗ от 27.07.2006г.
No152-ФЗ «О персональных данных», иными федеральными законами
и настоящей Политикой.
4.2. При изменении персональных данных Субъект персональных
данных должен письменно уведомить об этом Компанию в срок, не
превышающий 14 дней. Компания имеет право запрашивать у
Субъекта персональных данных дополнительные сведения и
документы, подтверждающие их достоверность.
4.3. Субъект персональных данных обязан ознакомиться с
настоящей Политикой, а также законодательством РФ в области
обработки персональных данных.
4.4. Субъект персональных данных имеет право наполучение
информации, касающейся обработки его персональных данных, в
том числе содержащей:
4.4.1. подтверждение факта обработки персональных данных
Оператором;
4.4.2. правовые основания и цели обработки персональных
данных;
4.4.3. цели и применяемые Оператором способы обработки
персональных данных;
4.4.4. наименование и место нахождения Оператора, сведения
о лицах (за исключением сотрудников/работников Оператора),
которые имеют доступ к персональным данным или которым
могут быть раскрыты персональные данные на основании
договора с Оператором или на основании федерального
закона;
4.4.5. обрабатываемые персональные данные, относящиеся к
соответствующему субъекту персональных данных, источник их
получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
4.4.6. сроки обработки персональных данных, в том числе
сроки их хранения;
4.4.7. порядок осуществления субъектом персональных данных
прав, предусмотренных Федеральным законом «О персональных
данных»;
4.4.8. информацию об осуществленной или о предполагаемой
трансграничной передаче данных;
4.4.9. наименование или фамилию, имя, отчество и адрес
лица, осуществляющего обработку персональных данных по
поручению Оператора, если обработка поручена или будет
поручена такому лицу;
4.4.10. иные сведения, предусмотренные Федеральным законом
No152 «О персональных данных» или другими федеральными
законами.
4.5. Субъект персональных данных вправе требовать от Оператора
уточнения его персональных данных, их блокирования или
уничтожения в случае, если персональные данные являются
неполными, устаревшими, неточными, незаконно полученными или
не являются необходимыми для заявленной цели обработки, а
также принимать предусмотренные законом меры по защите своих
прав.
4.6. Если субъект персональных данных считает, чтоОператор
осуществляет обработку его персональных данных с нарушением
требований Федерального закона «О персональных данных» или
иным образом нарушает его права и свободы, субъект
персональных данных вправе обжаловать действия или бездействие
Оператора в уполномоченный орган по защите прав субъектов
персональных данных или судебном порядке.
4.7. Субъект персональных данных имеет право на защиту своих
прав и законных интересов, в том числе на возмещение убытков и
(или) компенсацию морального вреда в судебном порядке.
4.8. Субъект персональных данных имеет право отозвать свое
согласие посредством составления соответствующего письменного
документа (заявления), который может быть направлен в адрес
Компании по почте заказным письмом с уведомлением о вручении
либо вручен лично под расписку представителю Компании.
5. Права и обязанности Компании
5.1. Компания вправе поручить обработку персональных данных
другому лицу с согласия субъекта персональных данных на
основании заключаемого с этим лицом договора. Договор должен
содержать перечень действий (операций) с персональными
данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, цели обработки, обязанность
такого лица соблюдать конфиденциальность персональных данных и
обеспечивать безопасность персональных данных при их
обработке, а также требования к защите обрабатываемых
персональных данных в соответствии со статьей 19 Федерального
закона «О персональных данных».
5.2. В целях внутреннего информационного обеспечения Компания
может создавать внутренние справочные материалы, вкоторые
списьменного согласия субъекта персональных данных, если иное
не предусмотрено законодательством Российской Федерации, могут
включаться его фамилия, имя, отчество, место работы,
должность, год и место рождения, адрес, абонентский номер,
адрес электронной почты, иные персональные данные, сообщаемые
субъектом персональных данных.
5.3. Компания имеет право обрабатывать персональные данные без
согласия субъекта в случаях, предусмотренных ст. 6
Федерального закона No152 «О персональных данных» или иными
актами законодательства РФ.
5.4. Компания вправе отказать субъекту персональных данных в
выполнении запроса на получение информации, касающейся
обработки его персональных данных, в случаях, установленных
Федеральным законом No152 «О персональных данных» или иными
актами законодательства РФ.
5.5. Компания вправе собирать на своих сайтах следующую
информацию: IP-адрес, тип браузера, тип устройства (ПК,
мобильные), тип операционной системы, время и
продолжительность визита, логическое разрешение экрана,
информацию cookies и адреса запрашиваемых страниц.
5.6. Опубликованная на Сайте Политика является действующей.
Компания вправе в любое время вносить в нее изменения. В
случае внесения изменений, компания обязана уведомить
пользователей путем размещения на Сайте новой редакции
Политики.
6. Заключительные положения
6.1. Настоящая Политика регулируется и толкуется в
соответствии с законодательством Российской Федерации.
Вопросы, не урегулированные настоящей Политикой, подлежат
разрешению в соответствии с законодательством Российской
Федерации. Все возможные споры, вытекающие из отношений,
регулируемых настоящей Политикой, разрешаются в порядке,
установленном действующим законодательством Российской
Федерации, по нормам российского права. Везде по тексту
настоящей Политики, если явно не указано иное, под термином
«законодательство» понимается законодательство Российской
Федерации.
6.2. В случае возникновения вопросов и претензий со стороны
Пользователя он должен обратиться в адрес Компании любым
доступным способом. Все возникающее споры стороны будут
стараться решить путем переговоров, при не достижении
соглашения спор будет передан на рассмотрение в судебный орган
в соответствии с действующим законодательством РФ.
6.3. Бездействие со стороны Компании в случае нарушения
Пользователем требований Политики не лишает Компанию права
предпринять соответствующие действия в защиту своих интересов
позднее, а также не означает отказ Компании от своих прав в
случае совершения в последующем подобных либо сходных
нарушений.
6.4. Все споры по Политике или в связи с ним подлежат
рассмотрению в суде по месту нахождения Компании в
соответствии с действующим процессуальным правом Российской
Федерации.
6.5. Признание судом недействительности какого-либо требования
настоящей Политики не влечет за собой недействительность
остальных требований.
6.6. Лица, виновные в нарушении норм, регулирующих обработку и
защиту персональных данных, несут материальную,
дисциплинарную, административную, гражданско-правовую или
уголовную ответственность в порядке, установленном
федеральными законами, локальными актами, соглашениями
Оператора.
Если у вас есть вопросы о политике конфиденциальности персональных
данных или другие вопросы, связанные с Сайтом, пожалуйста, свяжитесь с
нами удобным для вас способом:
426033, Россия, г. Ижевск, ул. 30 лет Победы, 2, офис 404