Политика в отношении обработки персональных данных в ООО «БЛ»
1. Обозначения и сокращения
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
ООО «БЛ» — Общество с ограниченной ответственностью «Брайт Логистик»
Субъект персональных данных — физическое лицо, к которому относятся персональные данные
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн)
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
Автоматизированная обработка персональных данных — обработка ПДн с помощью средств вычислительной техники
База персональных данных — упорядоченный массив ПДн, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн
Информационная система персональных данных — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания
Общедоступные персональные данные — ПДн, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности
Деперсонализация — действия, в результате которых становится невозможным без использования дополнительной информации определить их принадлежность конкретному субъекту персональных данных
2. Общие положения
2.1. Назначение и область действия
2.1.1. Политика в отношении обработки персональных данных в ООО «БЛ» (далее – Политика) является основополагающим документом, определяющим общие принципы, цели, правовые основания обработки персональных данных и содержит сведения о реализуемых требованиях к защите персональных данных в ООО «БЛ» (далее – Компании). Целью принятия Политики является обеспечение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.1.2. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
2.1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами (далее – законодательство), определяющими порядок работы с персональными данными и требования к обеспечению их безопасности и конфиденциальности.
2.1.4. Политика подлежит пересмотру и актуализации с периодичностью не реже 1 (одного) раза в 3 (три) года или в случае изменений в действующем законодательстве Российской Федерации о персональных данных или в фактических процессах обработки персональных данных в Компании, а также в иных случаях на усмотрение Компании.
2.1.5. К настоящей Политике предоставляется неограниченный доступ любому лицу, желающему с ней ознакомиться.
2.1.6. Настоящая Политика размещается на официальном сайте Компании в сети Интернет.
2.2. Цели обработки персональных данных
В рамках настоящей Политики обработка персональных данных Компанией осуществляется в следующих целях:
2.2.1 Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании.
2.2.2 Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании.
2.2.3 Осуществления прав и обязанностей, возложенных действующим законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, в ФГИС, а также в иные органы власти.
2.3.4. А также в следующих целях:
- подбор и оценка кандидатуры для замещения вакантной должности Компании или участия в программе стажировки, формирование резерва Компании для замещения вакантных должностей;
- ведение кадрового и бухгалтерского учета, составление налоговой отчетности; • обеспечение трудового законодательства Российской Федерации;
- формирование справочников и материалов для внутреннего информационного обеспечения деятельности Компании;
- поддержка и мотивация работников Компании;
- взаимодействие с банком или иной кредитной организацией при оформлении безналичного банковского счета для работников Компании для безналичного перечисления заработной платы и иных выплат;
- обучение и повышение квалификации работников Компании;
- публикация персональных данных на корпоративном сайте Компании, доске почета и в социальных сетях;
- предоставление добровольного медицинского страхования для работников Компании, родственников работников Компании;
- обеспечение пропускного и внутриобъектового режима Компании;
- оказание материальной помощи работникам Компании;
- ознакомление неограниченного круга лиц с информацией, размещенной на интернет-сайтах Компании, получение информации об услугах Компании;
- формирование статистической/аналитической отчетности, сбор статистической информации и ее анализ;
- предоставление и обеспечения доступа к сайту, его функциональности;
- предоставление ответа на обращения (запросы) пользователей;
- проведение опросов, анализ пользовательских данных, статистических, маркетинговых и иных исследований взаимодействия субъекта с Компанией.
2.3. Категории субъектов персональных данных
2.3.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов:
- работники – физические лица, связанные с Компанией трудовыми отношениями, либо желающие вступить в такие отношения с Компанией;
- работники, с которыми расторгнуты трудовые договоры, сведения о которых обязаны храниться в соответствии с требованиями законодательства;
- физических лиц, с которыми Компания заключает договоры гражданско-правового характера в целях организации, включая заключение, реализацию и поддержку осуществления договорной работы;
- соискатели вакантных должностей (кандидаты для приема на работу), представившие лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети интернет, свои резюме или анкеты;
- близкие родственники субъектов – физические лица, являющиеся родственниками работников, данные которых указываются в анкетах и других документах, предоставляемых субъектом, или обработка персональных данных которых предусмотрена законодательством;
- посетители Сайта Компании – физические лица, посетившие сайт Компании или заполнившие форму обратной связи;
- посетители территории Компании – физические лица, чьи данные обрабатываются при посещении офиса Компании.
2.4. Категории субъектов персональных данных
2.4.1. Компания осуществляет обработку персональных данных, руководствуясь действующим законодательством Российской Федерации, а также следующими правовыми основаниями:
- трудовые договоры, заключаемые между работниками и Компанией;
- договоры гражданско-правового характера, заключаемые между работниками по договору услуг и выполнения работ (ГПХ), включая самозанятых, и Компанией;
- согласие субъекта персональных данных на обработку его персональных данных.
3. Принципы и условия обработки персональных данных
3.1. Обработка персональных данных в Компании осуществляется на основе принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
- недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, в случае отзыва субъектом своего согласия на обработку своих персональных данных, если иное не предусмотрено законодательством или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
- обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
3.2. Все персональные данные при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также, при необходимости, их уточнение, изменение или обновление, а также извлечение для последующей трансграничной передачи персональных данных.
3.3. Обработка персональных данных в Компании допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных действующим законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной по которому либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
3.4. Компания не раскрывает персональные данные субъекта третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
3.5. Компания вправе передавать данные и/или поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3.6. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией за действия в отношении обработки персональных данных
3.7. Компанией не обрабатываются персональные данные, относящиеся к специальным категориям:
- расовая принадлежность;
- национальная принадлежность;
- политические взгляды;
- религиозные или философские убеждения;
- состояния здоровья (за исключением данных о состоянии здоровья работников Компании в случаях, предусмотренных Трудовым кодексом Российской Федерации); интимная жизнь;
- а также иные персональные данные о частной жизни, о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности.
3.8. Обработка персональных данных о судимости может осуществляться Компанией исключительно в случаях и в порядке, определяемых действующим законодательством Российской Федерации.
3.9. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные – не обрабатываются Компанией.
3.10. Создание фото- и видеоизображений производится Компанией с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации субъектов персональных данных и не рассматриваются Компанией как биометрические персональные данные.
3.11. Компания не осуществляет трансграничную передачу персональных данных. В случае возникновения необходимости трансграничной передачи персональных данных, до начала такой передачи Компания выполняет процедуры, установленные действующим законодательством Российской Федерации.
4. Права субъекта персональных данных
4.1. Субъект персональных данных (здесь и далее по тексту под субъектом персональных данных понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены законодательством Российской Федерации) принимает решение о предоставлении его персональных данных и даёт Компании согласие на их обработку Компанией свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено действующим законодательством Российской Федерации.
4.2. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований на обработку, предусмотренных действующим законодательством Российской Федерации, возлагается на Компанию.
4.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законодательством Российской Федерации. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
4.4. Обработка Компанией персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
4.5. Компания обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях, указанных в п.4.4 Политики.
4.6. В целях исполнения требований действующего законодательства Российской Федерации и договорных обязательств, обработка персональных данных Компанией осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, деперсонализацию, удаление, уничтожение персональных данных.
4.7. В Компании запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных действующим законодательством Российской Федерации, или при наличии согласия в письменной форме субъекта персональных данных.
4.8. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
4.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Сведения о реализуемых требованиях к защите персональных данных
5.1. Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных, выявлением и предотвращением инцидентов, связанных с неправомерным доступом к персональным данным и неправомерных действий с ними.
5.2. Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях их получения, модификации, блокирования, уничтожения, заражения вредоносным программным кодом и совершения иных несанкционированных действий, Компанией применяются следующие организационно-технические меры:
- назначение ответственного за организацию обработки и обеспечении безопасности персональных данных;
- разработка и утверждение локальных нормативных документов по вопросам обработки и защиты персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
- применение средств защиты информации;
- учёт машинных носителей информации, содержащей персональные данные; проведение мероприятий по обнаружению фактов несанкционированного доступа к персональным данным и принятия мер в случае обнаружения и мер по недопущению подобных инцидентов в дальнейшем;
- принятие мер по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищённости информационных систем персональных данных;
- соблюдение условий, исключающих несанкционированный доступ к бумажным носителям персональных данных и обеспечивающих сохранность персональных данных;
- ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных, локальными актами Компании по вопросам обработки и защиты персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. За нарушение норм, регулирующих обработку и защиту персональных данных субъекта персональных данных в Компании нарушитель может нести дисциплинарную и материальную ответственность в порядке, установленном ТК РФ, и иными федеральными законами, а также может привлекаться к административной, гражданско-правовой и уголовной ответственности в порядке, установленном федеральными законами.
6.2. Моральный вред, причинённый субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с действующим законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.