Политика
обработки персональных данных
в ООО «ОСК»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая политика обработки персональных данных (далее – «Политика») разработана с целью раскрытия подходов к обработке и защите персональных данных, принятых в Обществе с ограниченной ответственностью «ОСК» (далее – «Общество»), расположенном по адресу Российская Федерация, 119270, г. Москва, ул. Лужнецкая Набережная, д.10А, стр.3, этаж 3, дверь 1, комната 14.
1.2. Общество стремиться к обеспечению безопасности персональных данных с целью защиты прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, личную и семейную тайну. Правовыми основаниями обработки персональных данных в Обществе являются Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», другие нормативные правовые акты, регулирующие деятельность Общества, а также его учредительные документы.
1.3. Настоящая Политика действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество может получить при осуществлении хозяйственной деятельности.
1.4. Настоящая Политика размещается во всех местах сбора персональных данных Обществом и рекомендована к ознакомлению всем субъектам персональных данных, предоставляющим свои данные Обществу или предполагающим, что их персональные данные могут обрабатываться Обществом.
1.5. В настоящей Политике используются следующие термины:
(1) «Закон о персональных данных» – Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006.
(2) «Клиенты» – лица, которым Общество оказывает информационно-технологические или коммуникационные услуги, связанные с использованием сервисов Общества.
(3) «Пользователи» – физические лица, непосредственно использующие сервисы Общества, включая сайты, приложения или любые иные электронные сервисы.
(4) «Поставщики» – лица, выполняющие работы, оказывающие услуги или предоставляющие товары Обществу на основании гражданско-правовых договоров.
(5) «Работники» – физические лица, состоящие с Обществом в трудовых отношениях.
(6) «Бывшие работники» — физические лица, состоявшие с Обществом в трудовых отношениях.
(7) «Соискатели» – физические лица, претендующие или претендовавшие на замещение вакансий Работников.
1.6. Термины, не определенные в настоящей Политике, имеют значение, которое придается им законодательством Российской Федерации (в первую очередь, Законом о персональных данных).
2. ПРИНЦИПЫ, ЦЕЛИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные разных категорий субъектов персональных данных обрабатываются Обществом в различных целях. Если субъект персональных данных относится к нескольким категориям, его персональные данные могут обрабатываться в целях, характерных для каждой из таких категорий.
2.1.1. Персональные данные потенциальных, действующих и бывших Клиентов и их представителей обрабатываются Обществом для достижения следующих целей:
(1) заключение и исполнение договоров (для потенциальных и действующих Клиентов);
(2) осуществление деловых контактов;
(3) рассмотрение заявлений и обращений;
(4) направление документов, информационных сообщений и рекламных материалов;
(5) анализ статистики, сбор отзывов и комментариев, а также иное исследование рынка, включая контакт по электронной почте, телефону и/или почте;
(6) обеспечение текущей хозяйственной деятельности Общества, включая бухгалтерский, налоговый и управленческий учет (для действующих и бывших Клиентов).
2.1.2. Персональные данные потенциальных, действующих и бывших Поставщиков и их представителей обрабатываются Обществом для достижения следующих целей:
(1) заключение и исполнение договоров (для потенциальных и действующих Поставщиков);
(2) осуществление деловых контактов;
(3) рассмотрение заявлений и обращений;
(4) направление документов, информационных сообщений;
(5) обеспечение текущей хозяйственной деятельности Общества, включая бухгалтерский, налоговый и управленческий учет (для действующих и бывших Поставщиков).
2.1.3. Персональные данные Работников обрабатываются Обществом для достижения следующих целей:
(1) содействие в трудоустройстве, обучении (повышении квалификации);
(2) ведение кадрового учета;
(3) организация и ведение общекорпоративных ресурсов в сети Интернет;
(3) обеспечение личной безопасности;
(4) контроль и оценка объема и качества работы;
(5) обеспечение сохранности имущества Общества (включая организацию контрольно-пропускного режима, контроль выдачи оборудования и доступа к информации, обладателем которой является Общество);
(6) исполнение трудовых договоров, заключенных с Работниками, включая начисление и выплату заработной платы и иных вознаграждений и компенсаций;
(7) организация служебных командировок (включая содействие Работникам в приобретении билетов, бронировании гостиниц);
(8) обеспечение текущей хозяйственной деятельности Общества (включая кадровое делопроизводство в автоматизированной форме, бухгалтерский, налоговый и управленческий учет);
(9) исполнение иных обязанностей, возложенных на Общество в соответствии с законодательством Российской Федерации.
2.1.4. Персональные данные Бывших работников обрабатываются Обществом для достижения следующих целей:
(1) осуществление прав и законных интересов Общества или третьих лиц (включая разрешение споров и иных конфликтных ситуаций);
(2) исполнение требований законодательства Российской Федерации.
2.1.5. Персональные данные Соискателей обрабатываются Обществом для достижения следующих целей:
(1) рассмотрение вопроса о возможности заключения с Соискателем трудового или гражданско-правового договора (включая учет Соискателя в кадровом резерве);
(2) осуществление прав и законных интересов Общества или третьих лиц (включая разрешение споров и иных конфликтных ситуаций);
(3) исполнение требований законодательства Российской Федерации.
2.1.6. Персональные данные Пользователей обрабатываются Обществом для достижения следующих целей:
(1) исполнение договоров, заключённых с Клиентами (если таковые предусматривают обработку Обществом персональных данных);
(2) рассмотрение заявлений и обращений;
(3) направление информационных сообщений и рекламных материалов;
(4) анализ статистики, сбор отзывов и комментариев, а также иное исследование рынка, включая контакт по электронной почте, телефону и/или почте;
(5) улучшение пользовательского опыта и совершенствование сервисов Общества;
(6) настройка официального сайта Общества в сети Интернет в соответствии с интересами Пользователя.
2.2. Указанные в настоящем разделе цели обработки персональных данных не ограничивают возможность обработки персональных данных любых категорий субъектов в целях исполнения действующего законодательства или защиты прав и охраняемых интересов Общества. В частности, персональные данные Бывших работников, родственников действующих и Бывших работников, участников и членов органов управления Общества обрабатываются Обществом для достижения указанных целей.
2.3. На основании поручений Клиентов и иных лиц Общество может оказывать им услуги, связанные с обработкой персональных данных. В таких случаях обработка персональных данных должна осуществляться исключительно в целях, предусмотренных соответствующими поручениями третьих лиц (в том числе, для исполнения соглашений об оказании информационно-технологических и коммуникационных услуг, услуг в области кадрового, бухгалтерского, налогового и управленческого учета, юридического сопровождения, административно-хозяйственного обеспечения, разработки программного обеспечения).
2.4. Обработка персональных данных осуществляется на основе принципов:
(1) законности целей и способов обработки персональных данных;
(2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
(3) соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки персональных данных;
(4) точности и актуальности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
(5) недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.
2.5. Любые действия с персональными данными, будь то их обработка на бумажных носителях или обработка с использованием автоматизированных систем, производятся Обществом только для достижения целей, описанных выше. Для достижения заявленных целей персональные данные могут обрабатываться Обществом путем выполнения следующих операций: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
3. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Общество осуществляет обработку только тех персональных данных, которые были предоставлены Обществу субъектами персональных данных (с их согласия), либо были получены Обществом на основании поручений Клиентов или иных лиц, обслуживаемых Обществом.
3.2. Согласия на обработку персональных данных собираются Обществом либо в письменной форме (посредством подписания субъектами документов, составленных по утвержденным Обществом формам), либо посредством выражения субъектом согласия на обработку его персональных данных конклюдентными действиями (нажатием соответствующих кнопок в форме на сайте Общества или иным подобным образом).
3.3. Предоставляя свои данные через электронную форму обратной связи на сайте Общества, а также в ходе использования сайта или сервисов Общества, субъект персональных данных (Пользователь) выражает свое согласие на обработку его персональных данных Обществом для рассмотрения его обращений, направления информационных сообщений и рекламных материалов; анализа статистики, сбора отзывов и комментариев, а также иного исследования рынка, улучшения пользовательского опыта и совершенствование сервисов Общества в течение всего срока деятельности Общества как юридического лица, а также в иных целях, которые прямо указаны в Политике обработки персональных данных Посетителей Сайта в соответствии с контекстом предоставления субъектом таких персональных данных.
3.4. При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.5. Общество не осуществляет обработку биометрических персональных данных, а также персональных данных, которые относятся к специальным категориям персональных данных, за исключением случаев, когда такая обработка требуется для исполнения обязанностей, возложенных на Обществом законом (в частности, для предоставления Работникам социальных гарантий), или когда обработка таких данных осуществляется по поручению Клиента.
4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Общество может передавать персональные данные третьим лицам, осуществляющим обработку персональных данных по поручению (в интересах) Общества, а также независимым операторам персональных данных. При передаче персональных данных другим операторам Общество уведомляет указанных лиц об обязанности сохранения конфиденциальности персональных данных и использования их лишь в тех целях, для которых они переданы. При передаче персональных данных лицам, обрабатывающим эти данные по поручению (в интересах) Общества, в соглашении с таким лицом предусматриваются
(а) перечень персональных данных, подлежащих обработке;
(б) перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
(в) допустимые цели обработки данных таким лицом;
(г) обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
(д) обязанность такого лица по запросу Общества (до начала обратки и во время обработки) предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований, установленных ст. 6 Закона о персональных данных;
(г) конкретные требования к защите обрабатываемых персональных данных, в том числе требование об уведомлении Общества о случаях, предусмотренных ч. 3.1 ст. 21 Закона о персональных данных.
4.2. Персональные данные Соискателей могут передаваться следующим лицам:
| Получатели / категории получателей | Тип получателей | Цель передачи |
|---|---|---|
| Провайдеры сервисов, которые позволяют автоматизировать работу с резюме при ведении кадрового резерва. | Лица, обрабатывающие данные по поручению Общества. | Автоматизация деятельности Общества в области подбора персонала. |
4.3. Персональные данные Работников могут передаваться следующим лицам:
| Получатели / категории получателей | Тип получателей | Цель передачи |
|---|---|---|
| Подрядчики, оказывающие Обществу услуги в области технического сопровождения и поддержки информационных систем кадрового, бухгалтерского и иного учета, кадрового документооборота (включая провайдеров услуг хостинга, операторов информационных систем, провайдеров услуг технической поддержки). | Лицо, обрабатывающие данные по поручению Общества. | Оказание услуг технического сопровождения и поддержки информационных систем кадрового, бухгалтерского и иного учета, кадрового документооборота. |
| Подрядчики, оказывающие Обществу услуги в области организации командировок сотрудников | Самостоятельные операторы персональных данных. | Оказание услуг по организации командировок сотрудников. |
| Страховые компании, по просьбе субъекта предоставляющие ему услуги добровольного медицинского страхования. | Самостоятельные операторы персональных данных. | Добровольное медицинское страхование Работников. |
| Организации, которые субъект выбрал для ведения его зарплатного банковского счета. | Самостоятельные операторы персональных данных. | Выпуск банковской карты для перечисления заработной платы Работнику и оказание сопутствующих услуг (в т.ч. обслуживание банковского счета). |
| Транспортные компании, гостиницы, а также агенты в области организации перевозок. | Самостоятельные операторы персональных данных. | Оказание Работникам услуг перевозки, проживания и иных услуг, в т.ч. связанных с направлением Работников в командировки и служебные поездки. |
| Организации, которые проводят конкурсные процедуры, если Общество принимает решение об участии в указанных процедурах. | Самостоятельные операторы персональных данных. | Обеспечение возможности участия Общества в конкурсном отборе. |
| Собственники офисных объектов, занимаемых Обществом, а также охранные организации, привлекаемые ими или Обществом. | Самостоятельные операторы персональных данных. | Организация и соблюдение пропускного режима на объектах, занимаемых Обществом. |
4.4. Персональные данные Клиентов и Пользователей могут передаваться следующим лицам:
| Получатели / категории получателей | Тип получателей | Цель передачи |
|---|---|---|
| Подрядчики, оказывающие Обществу услуги в области технического сопровождения и поддержки информационных систем (включая провайдеров услуг хостинга, операторов информационных систем, провайдеров услуг технической поддержки, провайдеров сервисов, операторов сотовой связи, агрегаторов рассылок сообщений). | Лица, обрабатывающие данные по поручению Общества. | Оказание услуг технического сопровождения и поддержки информационных систем. |
4.5. Полный перечень лиц, обрабатывающих персональные данные субъекта по поручению Общества или получающих данные субъекта от Общества, может быть предоставлен субъекту в порядке, предусмотренном настоящей Политикой.
4.6. Органы государственной власти Российской Федерации, а также иные публичные субъекты могут получить доступ к обрабатываемым персональным данным исключительно в случаях, установленных законодательством Российской Федерации.
5. ХРАНЕНИЕ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При обработке персональных данных реализуются организационные, правовые и технические меры защиты, исключающие возможность несанкционированного доступа к персональным данным со стороны лиц, не допущенных к их обработке. Среди прочего, указанные меры включают:
(1) моделирование угроз безопасности персональных данных;
(2) обеспечение режима безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого пребывания в этих помещениях лиц, не имеющих права доступа в них;
(3) определение перечня лиц, доступ которых к персональным данным необходим для выполнения ими служебных обязанностей;
(4) обеспечение сохранности носителей персональных данных;
(5) управление доступом к персональным данным (включая применение мер парольной защиты);
(6) контроль защищенности персональных данных;
(7) обеспечение доступности персональных данных (в том числе, посредством резервного копирования персональных данных с установленной периодичностью);
(8) антивирусную защиту информационных систем персональных данных.
5.2. Сроки хранения и иной обработки персональных данных определяются целями обработки персональных данных и/или отдельными согласиями субъектов персональных данных. Обработка персональных данных в любом случае подлежит прекращению в соответствии с требованиями действующего законодательства Российской Федерации (в том числе Федерального закона «О связи» от 07.07.2003 № 126-ФЗ), по достижении целей обработки соответствующих данных, а также в случае прекращения действия оснований для обработки персональных данных (в том числе, в случае отзыва ранее предоставленного согласия на обработку персональных данных, если законодательство не предоставляет Обществу право продолжить обработку персональных данных).
5.3. В Обществе назначены лица, ответственные за организацию обработки персональных данных и обеспечение их безопасности в ходе обработки в информационных системах персональных данных.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты, чьи персональные данные обрабатываются Обществом, вправе:
(1) получать информацию, касающуюся обработки их персональных данных;
(2) требовать от Общества уточнения персональных данных, их блокирования или уничтожения путем направления письменного обращения по адресу 115280, г. Москва, ул. Ленинская Слобода, 19 или по адресу электронной почты ld@edna.ru в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
(3) обжаловать в суд любые неправомерные действия или бездействия Общества при обработке и защите персональных данных, а также принимать иные предусмотренные законом меры по защите своих прав.
6.2. Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) получить информацию, касающуюся обработки их персональных данных, содержащей:
(1) подтверждение факта обработки персональных данных Обществом;
(2) правовые основания и цели обработки персональных данных;
(3) цели и применяемые Обществом способы обработки персональных данных;
(4) наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
(5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
(6) сроки обработки персональных данных, в том числе сроки их хранения;
(7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством о персональных данных;
(8) информацию о трансграничной передаче данных;
(9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
(10) информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Закона о персональных данных;
(11) иные сведения, предусмотренные законодательством.
Запрос субъекта должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом. Кроме того, запрос должен быть подписан субъектом персональных данных или его представителем.
6.3. Если лицо, обратившееся в Общество с обращением или запросом, не уполномочено на получение информации, относящейся к персональным данным, соответствующему лицу отказывается в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление об отказе в выдаче информации. Ответы на обращения и запросы о предоставлении сведений, относящихся к обработке персональных данных, направляются в течение 10 (Десяти) дней с момента их поступления в Общество.
6.4. В случае получения обращения, содержащего информацию об обработке Обществом неточных персональных данных или неправомерной обработке персональных данных, ответственное за рассмотрение запроса лицо незамедлительно организует блокирование таких персональных данных на период проверки. В случае сообщения об обработке Обществом неточных персональных данных блокирование осуществляется при условии, что оно не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.5. В случае подтверждения факта неточности обрабатываемых персональных данных на основании сведений, представленных субъектом персональных данных, его представителем или уполномоченным органом по защите прав субъектов персональных данных, обеспечивается уточнение персональных данных в течение 7 (семи) рабочих дней со дня представления таких сведений. Если уточнение данных невозможно осуществить в указанный срок, уточнение осуществляется в кратчайшие возможные сроки. Разблокирование данных производится по итогам их уточнения.
6.6. В случае выявления по итогам проверки неправомерной обработки персональных данных Обществом, производится устранение нарушения в срок, не превышающий 3 (три) рабочих дня с момента подтверждения факта неправомерной обработки. Если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (десять) рабочих дней со дня выявления неправомерной обработки персональных данных, производится уничтожение данных.
6.7. Об устранении допущенных нарушений или об уничтожении персональных данных немедленно уведомляется субъект персональных данных или его представитель, а если обращение либо запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган.
6.8. Субъект персональных данных также имеет право на отзыв своего согласия в любой момент, без взимания оплаты и без каких-либо неблагоприятных последствий при личном обращении либо посредством направления письменного запроса на почтовый адрес Общества. В случае отзыва субъектом персональных данных согласия на обработку его данных сотрудники Общества обязаны прекратить обработку персональных данных и уничтожить их в течение 30 (тридцати) дней с момента получения отзыва согласия субъекта персональных данных. Данное правило не применяется в случаях, когда у Общества есть законные основания продолжить обработку персональных данных после отзыва согласия, не нарушая при этом законных прав субъектов персональных данных.
6.9. Указанный в настоящем разделе перечень прав субъекта в отношении его персональных данных не ограничивает его право на реализацию любых иных правомочий, предусмотренных законодательством и локальными нормативными актами Общества.
6.10. Вопросы относительно порядка применения настоящей Политики могут направляться на следующий адрес электронной почты: ld@edna.ru.
Дата обновления Политики «11» апреля 2023 года.