fbpx
For Employers +370 68534553

Политика обработки и защиты персональных данных

1. Общие положения

1.1 В процессе осуществления уставной деятельности
ООО «НЭБ «Судэксперт» (ИНН 7810024620 адрес: 198412, город Санкт-Петербург, город Ломоносов, улица Рубакина, дом 2/5 литера а, офис 214 (далее – Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных, Общество считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.

1.2 Настоящая Политика в области обработки и защиты персональных данных (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые в целях обеспечения безопасности персональных данных при их обработке.

1.3 Настоящая Политика в отношении обработки персональных данных составлена в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 года, а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Персональные данные), которые Общество (далее – Оператор) может получить от субъекта персональных данных, являющегося стороной по договору оказания услуг, гражданско-правовому договору, а так же от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – работника).

1.4 Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09. 2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных органов.

1.5 Настоящая Политика является внутренним локальным нормативным актом и обязательна для исполнения всеми подразделениями и работниками Общества.

1.6 Работники должны быть ознакомлены под расписку с настоящей Политикой.

1.7 Настоящая Политика утверждается генеральным директором, который осуществляет контроль соблюдения Политики.

1.8 Срок действия настоящей Политики – до последующего обновления настоящего локального акта после ее утверждения. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается генеральным директором.

1.9 Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного работника, ответственного за организацию обработки и защиты персональных данных.

1.10 Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, данная Политика размещена в свободном доступе на Интернет сайтах Оператора, а также информационных стендах офисных помещений.

2. Основные понятия

2.1. Для целей настоящей Политики используются следующие основные понятия:

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных субъекту персональных данных.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Субъект персональных данных – идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.

Работник – физическое лицо (субъект персональных данных), заключившее с Организацией трудовой договор.

Соискатель – физическое лицо (субъект персональных данных), представившее в Организацию свои персональные данные с предложением заключения трудового договора.

Партнер – юридическое лицо или индивидуальный предприниматель, Оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку персональных данных Клиентов.

Клиент – заказчик основного продукта (субъект персональных данных), заключивший с Обществом или Партнером договор на реализацию основной продукции, сформированной Обществом, или присоединившийся к пользовательскому соглашению.

Физическое лицо – потребитель (субъект персональных данных), от имени которого заказчик основной продукции заключил с Обществом или Партнером договор на реализацию вида услуг, который формируется Обществом.

Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо работник Партнера.

Посетитель – физическое лицо (субъект персональных данных), не являющееся работником и получившее на законных основаниях допуск в помещения Общества.

Уполномоченный работник – лицо, назначенное приказом генерального директора ответственным за обеспечение безопасности и защиту персональных данных.

  1. Правовые основания обработки персональных данных

3.1 Оператор обязан осуществлять обработку персональных данных только на законной и справедливой основе.

3.2 Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Налоговым кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»;
  • Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральный закон Российской Федерации от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»;
  • Федеральным законом от 28.03.1998 N 53-ФЗ «О воинской обязанности и военной службе»;
  • Федеральным законом № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью»;
  • Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Согласия субъекта обработки ПД.

3.3 Обработка персональных данных не может быть использована Оператором или его работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

3.4 Обработка персональных данных Оператором должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.

  1. Цели обработки персональных данных

4.1 Оператор проводит обработку персональных данных исключительно в целях:

  • осуществления возложенных на Общество Уставом и законодательством Российской Федерации функций в соответствии с нормативными актами, указанными в настоящей Политике;
  • принятия решения о заключении с соискателем трудового договора;
  • исполнения обязательств Общества по заключенным с Клиентами или Партнёрами договорам о реализации предлагаемых услуг;
  • исполнения обязательств Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем по которым является Клиент (Партнер), а также для заключения договоров по инициативе Клиента (Партнера) или договоров, по которым Клиент (Партнер) будет являться выгодоприобретателем или поручителем;
  • исполнения обязательств Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
  • для исполнения обязательств Общества в процессе судопроизводства по искам к Организации работников, Клиентов или Партнеров, или исков Организации к работникам, Клиентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
  • для исполнения обязательств Общества при осуществлении претензионного делопроизводства по жалобам к Организации работников, Клиентов или Партнеров, или претензий Организации к работникам, Клиентам и Партнерам; Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
  • обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен работником или Клиентом либо по их просьбе;
  • выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами;
  • осуществления пропускного и внутриобъектового режима в помещениях Общества;
  • содействия в обучении работников и повышения профессиональной квалификации;
  • обеспечения личной безопасности Работников;
  • контроль количества и качества работы Работников;
  • обеспечение сохранности имущества Общества;
  • рассмотрения обращений граждан.

4.2 Оператор осуществляет обработку персональных данных, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

4.3 Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.

4.4 В случае если для достижения указанных выше целей обработки персональных данных, Оператору необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины (необходимость), вследствие которых она осуществлялась.

5. Принципы обработки персональных данных

5.1 Оператор обрабатывает персональные данные, только на основании того, что субъект персональных данных принимает решение о предоставлении Обществу своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с Обществом или Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Оператора или Партнеров.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

5.2 Оператор не имеет права получать и обрабатывать персональные данные работников об их членстве в общественных объединениях или их профсоюзной деятельности, политических и религиозных убеждениях за исключением случаев, предусмотренных федеральными законами.

5.3 При принятии решений, затрагивающих интересы работника. Оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.4 Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки.

5.5 Обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.

  1. Категории персональных данных и сроки хранения

6.1 Оператором обрабатываются следующие категории персональных данных:

п.п.

Категории ПДн Источники получения Основания для обработки
1. персональные данные работников от субъектов персональных данных Трудовой кодекс РФ;

326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010;

323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011;

167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации» от 15.12.2001;

165-ФЗ «Об основах обязательного социального страхования» от 16.07.1999;

53-ФЗ «О воинской обязанности и военной службе» от 28.03.1998

2. персональные данные клиентов (пользователей Интернет ресурсов) от субъектов персональных данных или Партнеров заключенные договора;

соглашение с пользователем

3. персональные данные Партнеров и их представителей от субъектов персональных данных или Партнеров заключенные договора
4. персональные данные Клиентов от субъектов персональных данных заключенные трудовые договора;

ФЗ № 14-ФЗ от 08.02.1998

«Об обществах с ограниченной ответственностью»

5. персональные данные Соискателей от субъектов персональных данных Трудовой кодекс РФ
6. персональные данные уволенных работников от субъектов персональных данных Трудовой кодекс РФ
7. персональные данные близких родственников работников от субъектов персональных данных Трудовой кодекс РФ
8. персональные данные Граждан, направивших обращение в адрес Общества от субъектов персональных данных 152-ФЗ «О персональных данных» от 27.07.2006

Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения.

7. Защита персональных данных

7.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

7.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.

7.3. Подсистема организационной защиты включает в себя организацию структуры управления системы защиты персональных данных, разрешительной системы, защиты информации при обработке работниками, партнерами и сторонними лицами.

7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

7.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:

  • назначение лица ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением структурными подразделениями и его работниками требований к защите персональных данных;
  • определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, и разработка (совершенствование) мер и мероприятий по защите персональных данных;
  • разработка политики в отношении обработки персональных данных;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
  • ограничение свободного доступа в помещения, где осуществляется обработка персональных данных.

7.6 Меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»), Специальных требований и рекомендаций по технической защите конфиденциальной информации (утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282), требований к составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»).

7.7 Меры по обеспечению защиты персональных данных признаются разумно достаточными, если исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя, а также обеспечивается обработка персональных данных без нарушения установленного режима защиты.

8. Передача персональных данных

8.1. При передаче персональных данных Оператор должен соблюдать следующие требования:

  • не сообщать персональные данные третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;
  • не сообщать персональные данные в коммерческих целях без письменного согласия. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;
  • предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим защиты (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
  • осуществлять передачу персональных данных в пределах Общества в соответствии с настоящие Политикой;
  • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать те персональные данные, которые необходимы для выполнения конкретной функции;
  • передавать персональные данные работника (потребителя услуги) его законным, уполномоченным представителям в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции;
  • персональные данные работников обрабатываются и хранятся строго в указанных помещениях, в соответствии с перечнем мест, разрешенных для осуществления обработки персональных данных (утверждается генеральным директором);
  • персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети, сети Интернет).

8.2. При получении персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить субъекту следующую информацию:

  • наименование (фамилия, имя, отчество) и адрес Оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемых пользователей персональных данных;
  • установленные федеральными законами права субъекта персональных данных.
  • срок или условие прекращения обработки ПД
  1. 3 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

8.4 Право доступа к персональным данным субъектов персональных данных осуществляются в соответствии с утвержденным перечнем лиц, имеющих доступ к персональным данным.

9.Трансграничная передача персональных данных

9.1 Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

9.2 Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

10. Основные права субъекта персональных данных

10.1 Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • обращения к Оператору и направлению ему запросов;
  • обжалование действий или бездействия Оператора.

11. Обязанности Оператора

11.1 Оператор обязан:

  • при сборе персональных данных предоставить информацию об обработке таких данных;
  • в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
  • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении таких данных;
  • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
  • уничтожать персональные данные по достижению цели обработки или по заявлению субъекта обработки ПД, если другое не предусмотрено Законодательством РФ.

11.2 Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 10.1 настоящей Политики, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
  • персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • предоставление субъекту персональных данных нарушает права и законные интересы третьих лиц.

12. Ответственность за нарушение норм, регулирующих обработку персональных данных

12.1. Должностные лица Оператора, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами и внутренними нормативными документами Общества.

Скачать PDF.

About Us

CVmira is a communication platform for employers and candidates.

We provide access to CVs and job postings but take no liability for the information provided by users and provide no guarantees of employment.

Please contact info@cvmira.com with any questions about our platform.

FOR EMPLOYERS

+370 68534553

info@cvmira.com

Translate »