Политика об обработке персональных данных

1. Общие положения
1.1. Настоящая Политика об обработке персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных в ООО «НОРБИТ» (ИНН 7702314674, ОГРН1027700305490) как Оператора персональных данных (далее - Оператор).
1.2. Настоящая Политика разработана и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных») и подлежит опубликованию на официальном сайте Оператора.
1.3. В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу - субъекту персональных данных. От лица субъекта персональных данных вправе действовать представитель при наличии соответствующих полномочий, которые проверяются Оператором при каждом обращении или запросе.
1.4. Оператор осуществляет обработку персональных данных способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), доступ, предоставление, использование, блокирование, удаление уничтожение.
1.5. Оператор осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, когда иное допускается ФЗ «О персональных данных».
2. Порядок и условия обработки персональных данных
2.1. Целями обработки персональных данных Оператором являются:
2.1.1. обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
2.1.2. обеспечение соблюдения трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;
2.1.3. содействие в трудоустройстве;
2.1.4. получение образования и продвижение по службе;
2.1.5. обеспечение личной безопасности работников;
2.1.6. контроль количества и качества выполняемой работы;
2.1.7. обеспечение сохранности имущества;
2.1.8. осуществление электронного документооборота в сфере трудовых отношений;
2.1.9. сопровождение процессов, связанных с отбором кандидатов (соискателей) на замещение вакантных должностей;
2.1.10. заключение, изменение, дополнение, исполнение и расторжение трудовых договоров;
2.1.11. выполнение работником трудовой функции;
2.1.12. ведение кадрового делопроизводства;
2.1.13. формирование кадрового резерва, исполнения прав и обязанностей юридического лица как работодателя;
2.1.14. обеспечение и организация пропускного режима;
2.1.15. организация участия работников и работодателя в социальнокорпоративных мероприятиях;
2.1.16. обеспечение работникам установленных законодательством Российской Федерации условий труда, льгот, гарантий и компенсаций, а также в целях противодействия коррупции;
2.1.17. обеспечения обработки персональных данных по договорупоручения при необходимости;
2.1.18. обеспечения и организации пропускного режима на территории/в здании работников Оператора;
2.1.19. обеспечения финансово-хозяйственной деятельности юридического лица;
2.1.20. продвижения товаров и услуг на рынке;
2.1.21. заключения, изменения, исполнения и расторжения гражданскоправовых договоров с физическими и юридическими лицам.
2.2. Обработку персональных данных, включая доступ к персональным данным осуществляют:
2.2.1. работники Оператора в соответствии с должностями, указанными в Перечне должностей, допущенных к обработке персональных данных;
2.2.2. юридические и физические лица, которым поручается обработка персональных данных на основании договорных отношений с Оператором.
2.3. Оператор осуществляет обработку персональных данных, исходя из следующих принципов:
2.3.1. законности целей и способов обработки персональных данных, добросовестности и справедливости деятельности Оператора;
2.3.2. обработки персональных данных, отвечающих целям их обработки;
2.3.3. соответствие содержания и объема персональных данных заявленной цели обработки без их избыточности;
2.3.4. не допустимость объединения баз данных, содержащих персональные данные, обрабатываемые для целей несовместимых между собой;
2.3.5. точность, достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;
2.3.6. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
2.4. Обработка персональных данных допускается в случаях, предусмотренных ФЗ «О персональных данных», в частности:
2.4.1. с согласия субъекта персональных данных на обработку его персональных данных;
2.4.2. обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
2.4.3. в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
2.4.4. обработка необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
2.4.5. обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, с соблюдением требований, предъявляемых к содержанию договора, предусмотренных п.п.5.ч.1. ст.6 ФЗ «О персональных данных»;
2.4.6. обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
2.4.7. обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
2.4.8. в статистических или иных исследовательских целях, при этом обработка допускается только с предварительного согласия субъекта персональных данных и при условии обязательного обезличивания персональных данных;
2.4.9. в иных случаях, предусмотренных законодательством Российской Федерации.
2.5. Персональные данные Оператор вправе получать у субъекта персональных данных, у представителя субъекта персональных данных или у третьего лица в случаях, предусмотренных законодательством Российской Федерации.
2.6. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований предусмотренных в пп. 2.4.2.-2.4.9. Политики, а также предусмотренных п. 3 ст. 86 Трудового кодекса Российской Федерации.
2.7. Оператор вправе поручить обработку персональных данных другому юридическому лицу с согласия субъекта персональных данных в письменной форме на основании заключаемого с этим лицом договора, который обязан соответствовать требованиям, указанным в ч.3. ст. 6 ФЗ «О персональных данных».
2.8. Согласие на обработку персональных данных.
2.8.1. Субъект персональных данных дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным в любой форме, позволяющей подтвердить факт его получения Оператором. При получении такого согласия от представителя субъекта персональных данных полномочия такого представителя на дачу согласия проверяются Оператором.
2.8.2. Согласие на обработку персональных данных может быть в любое время отозвано субъектом персональных данных, при этом Оператор вправе продолжить обработку персональных данных без согласия субъекта только при наличии оснований, предусмотренных п. 2.4.2. - 2.4.9. Политики и по иным основаниям, предусмотренным законодательством РФ. В иных случаях обработка таких персональных данных должна быть прекращена Оператором.
2.8.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
2.8.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают его наследники, если оно не было получено ранее при его жизни.
2.9. Обработка специальных категорий персональных данных и трансграничная передача персональных данных Оператором не ведется.
2.10. Биометрические персональные данные работников обрабатываются на основании согласия работника на обработку биометрических персональных данных и только в целях пропуска работника на территорию офиса Оператора. Оператор поручает обработку таких персональных данных ООО «Онви Сервис» на основании договора.
2.11. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления Оператором прямых контактов с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
2.12. Оператор осуществляет смешанную, неавтоматизированную и автоматизированную обработку персональных данных.
2.13. Срок или условие прекращения обработки персональных данных Оператором:
  • достигнуты цели обработки или утрачена необходимость в их достижении;
  • получен отзыв согласия субъекта персональных данных на обработку персональных данных;
  • представление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональных данных являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявление неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных;
  • требование субъекта персональных данных в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленной цели;
  • истечение срока хранения персональных данных, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • прекращение деятельности Оператора.
3. Обеспечение безопасности персональных данных
3.1. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 18.1. и 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
3.2. Обеспечение безопасности персональных данных достигается в частности:
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
  • определение требуемых уровней защищенности персональных данных, обрабатываемых в информационной системе персональных данных и соблюдение требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  • посредством прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационный системы персональных данных;
  • разграничение прав доступа сотрудников к базе персональных данных информационный системы персональных данных;
  • охрана помещений Оператора, ограниченный доступ в помещения, где расположены базы персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по исключению в дальнейшем такого доступа;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением права доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности системы персональных данных.
  • назначением лица, ответственного за организацию обработки персональных данных у Оператора.
3.3. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в соответствии с законодательством Российской Федерации.
4. Обеспечение прав субъекта персональных данных Оператором
4.1. Субъекты персональных данных обладают правами, предусмотренными ФЗ «О персональных данных» и другими нормативноправовыми актами в сфере обработки персональных данных, а Оператор обеспечивает права субъектов персональных данных в порядке, предусмотренные главами 3 и 4 ФЗ «О персональных данных».
4.2. Субъект персональных данных обладает правом:
4.2.1. Обеспечение безопасности персональных данных достигается в частности:
  • право на получение информации, касающейся обработки его персональных данных, в объеме, предусмотренном ч.7. ст.14 ФЗ «О персональных данных»;
  • право на уточнение персональных данных,
  • право требовать блокирования или уничтожения данных, обрабатываемых с нарушением принципов или оснований обработки, указанных в п.2.3. или 2.4. Политики соответственно.

Право субъекта персональных данных на доступ к его персональным данным предоставляется Оператором на основании обращения или запроса в порядке, предусмотренном ст. 14 ФЗ «О персональных данных».

Право на доступ к персональным данным может быть ограничено в соответствии с ч.8. ст.14 ФЗ «О персональных данных» и другими федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4.2.2. Обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных» или иными образом нарушает его права и свободы.
4.2.3. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
4.3. Оператор обеспечивает право на доступ субъекта персональных данных:
4.3.1. предоставляя субъекту требуемую информацию по его запросу или обращению. Основания для отказа в предоставлении информации составляют - поступление повторного запроса, не соответствующего условиям, указанным в ч. 4 и 5 ст.14 ФЗ «О персональных данных» или наличие обстоятельств, указанных в ч.8. той же статьи. Отказ должен быть мотивирован Оператором.
4.3.2. уточняя неполные, неактуальные устаревшие данные, блокируя их на период проверки, если это не нарушает права и законные интересы субъекта;
4.3.3. при выявлении неправомерно обрабатываемых персональных данных осуществляя блокирование на период проверки, а затем, если обеспечить правомерность не представляется возможным -производя уничтожение;
4.3.4. уничтожая незаконно полученные или несоответствующие заявленным целям обработки персональные данные;
4.3.5. прекращая обработку персональных данных при достижении заявленных целей обработки, и уничтожая их;
4.3.6. предоставляя информацию по обращениям, запросам, требованиям субъекта персональных данных и, при их соответствии требованиям законодательства РФ, исполняя указанные в них требования.

Оператор уведомляет субъекта персональных данных о выполнении своих обязательств. Сроки осуществления Оператором обязательств, указанных в п.4.3. Политики, определяются ФЗ «О персональных данных» или соглашением с субъектом персональных данных.

4.4. В обязанности Оператора входит:
4.4.1. При отказе субъекта в предоставлении персональных данных разъяснить субъекту персональных данных юридические последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с ФЗ «О персональных данных»;
4.4.2. Если персональные данные получены не от субъекта персональных данных, до начала обработки персональных данных предоставить субъекту персональных данных следующую информацию:
  • наименование либо фамилия, имя отчество и адрес Оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень обработки персональных данных;
  • о предполагаемых пользователях персональных данных;
  • об установленных ФЗ «О персональных данных» правах субъекта персональных данных;
  • источник получения персональных данных.
4.4.3. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п.4.4.2. Политики, в случаях, если:
  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
  • персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных сведений, предусмотренных п.4.4.2. Политики, нарушает права и законные интересы третьих лиц;
  • иных случаях, предусмотренных законодательством Российской Федерации.
4.4.4. Назначить лицо, ответственное за организацию обработки персональных данных, которое обязано:
  • осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Указанное лицо непосредственно получает указания от Генерального директора и подотчетно ему.
4.4.5. Принимать локальные нормативные акты, определяющие в отношении каждой цели обработки персональных данных, отдельные категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований, а также локальные нормативно-правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранения последствий таких нарушений.
4.4.6. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации, политике Оператора в отношении обработки персональных данных, локальным актам оператора;
4.5. Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
4.6. Производить ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, или обучение указанных работников.
4.7. Поддерживать актуальность сведений уведомления, направленного уполномоченному органу по защите прав субъектов персональных данных в предусмотренных ст.22 ФЗ «О персональных данных» случаях.
5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
5.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
5.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.