1. Общие положения
1.1 Настоящий документ определяет политику Общества с ограниченной ответственностью "Соджиц" (далее – Компания) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.
1.2 Действие настоящей Политики распространяется на все действия, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
1.3 Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
1.4 Настоящая Политика составлена в соответствии с Конвенцией Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных, и Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г.
1.5 Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.
2. Введение
2.1 Компания является оператором персональных данных.
2.2 Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
2.3 В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов.
3. Принципы и условия обработки персональных данных в Компании
3.1 Компания, являясь оператором, осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- соискателей на замещение вакантных должностей – в составе и сроком, необходимыми для принятия работодателем решения о приеме либо отказе в приеме на работу (заключения трудового договора) с согласия субъектов персональных данных;
- работников, состоящих или состоявших в трудовых отношениях с Компанией – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления услуг страхования; для формирования кадрового резерва с согласия субъектов персональных данных;
- родственников работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, для заключение и исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (в том числе, в целях предоставления медицинского страхования с согласия субъектов персональных данных);
- представителей иностранных компаний группы "Соджиц" – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ,осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, в том числе, для содействия иностранным гражданам в оформлении приглашений, виз, постановки на миграционный учет;
- поставщиков – физических лиц – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- представителей потенциальных и существующих клиентов – юридических лиц – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, а также для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных;
- представителей поставщиков – юридических лиц – в составе и сроком, необходимымидля достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, а также для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных;
- представителей потенциальных и существующих партнеров – юридических лиц – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей, а также для осуществления взаимодействия с потенциальными и существующими партнерами, с согласия субъектов персональных данных;
- участников ДТП – в составе и сроком, необходимыми для достижения целей,предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей.
3.2 Сроки обработки персональных данных определены с учетом:
- установленных целей обработки персональных данных;
- сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
- сроков, определенных Приказом Минкультуры РФ от 25 августа 2010 г. № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
3.3 Компания осуществляет обработку персональных данных на законной и справедливой основе.
3.4 При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.5 Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).
3.6 Компания осуществляет обработку специальных категорий персональных данных работников (состояние здоровья работников и национальность в рамках трудовых отношений). При этом Компания выполняет требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ.
3.7 Компания не осуществляет обработку биометрических персональных данных.
3.8 Компания осуществляет трансграничную передачу персональных данных. При этом Компания выполняет требования к осуществлению трансграничной передачи персональных данных, предусмотренные Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г.
3.9 В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
3.10 Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет требования к поручению обработки персональных данных, предусмотренные Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г.
3.11 Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
4. Права субъектов персональных данных, обрабатываемых в Компании
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос (запрос может быть также направлен в форме электронного документа и подписан электронной подписью) на адрес: 115114, Российская Федерация, г. Москва, ул. Летниковская, д. 2, стр. 1, в порядке, установленном ст. 14 Федерального закона РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г.
5. Исполнение обязанностей оператора в Компании
5.1 Компания получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных). При этом Компания выполняет обязанности, предусмотренные Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и Трудового кодекса РФ при сборе персональных данных.
5.2 Компания прекращает обработку персональных данных в следующих случаях:
- по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
- по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Компаниям исключительно на основании согласия субъекта персональных данных);
- в случае ликвидации Компании.
5.3 В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
- Положение об обработке персональных данных;
- настоящая Политика;
- другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
- применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
- осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных нормативных актов Компании;
- проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компаниям мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов;
- работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона РФ "О персональных данных" № 152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных нормативных актов Компании по вопросам обработки персональных данных.
5.4 В Компании реализуются следующие требования к защите персональных данных:
- организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- реализовано обеспечение сохранности носителей персональных данных;
- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей;
- используются средства защиты информации;
- реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".