Политика обработки персональных данных 01 Августа 2021
Политика обработки персональных данных
ПОЛОЖЕНИЕ ОБ
ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В
ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕСТВЕННОСТЬЮ «ПУДОФФ»
1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ ДОКУМЕНТА.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.
1.1. Назначение и область действия документа
1.1.1. В настоящем Положении об обработке и защите персональных данных (далее – «Положение») установлены требования по организации и непосредственному функционированию процессов обработки персональных данных (далее – «ПДн») в ООО «Пудофф» (далее – «Компания») в соответствии с требованиями нормативных правовых актов Российской Федерации (далее – «РФ») в области обработки и защиты ПДн.
1.1.2. Требования настоящего Положения распространяются на структурные подразделения Компании и отдельных должностных лиц, принимающих участие в процессах обработки ПДн в Компании.
1.1.3. Требования настоящего Положения распространяются на все процессы обработки ПДн в Компании, независимо от формы предоставления ПДн.
1.2. Термины и определения
«Автоматизированная обработка ПДн» - обработка ПДн с помощью средств вычислительной техники;
«Авторизованный сервисный центр» - юридическое лицо или индивидуальный предприниматель, с которым у Компании заключен договор на оказание потребителям услуг по сервисному обслуживанию Товаров.
«Блокирование ПДн» - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
«Веб-сервисы» - интернет-сайт: https://www.pudov.ru.
«Информационная система ПДн» («ИСПДн») данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
«Клиент» – физическое лицо, вступившее в договорные отношения с Компанией по приобретению ее товаров;
«Контрагент» - юридическое лицо и/или индивидуальный предприниматель, вступившее в договорные отношения с Компанией.
«Конфиденциальность ПДн» – обязательное для соблюдения лицом, получившим доступ к ПДн, требование не допускать их распространения и передачи третьим лицам без согласия субъекта ПДн или наличия иного законного основания.
«Оператор» - государственный орган, муниципальный орган, юридическое (в том числе, Компания) или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
«Обработка ПДн» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
«Персональные данные» (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
«Пользователь веб-сервисов» - посетитель интернет-сайта: https://www.pudov.ru; приложение для android, зарегистрировавшие учетную запись в системах ООО «Пудофф» на соответствующих ресурсах.
«Потребитель» - лицо, обратившееся в Компанию (в том числе, через авторизованные Компанией сервисные центры) с целью получения информации о товарах или услугах Компании, либо с требованием о выполнении обязательств, предусмотренных законодательством о защите прав потребителей;
«Предоставление ПДн» - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
«Представители/работники Контрагентов» - физические лица, являющиеся представителями юридического лица и/или индивидуального предпринимателя и/или физического лица, вступившего в договорные отношения с Компанией. К указанной категории также относятся представители/работники потенциальных Контрагентов Компании.
«Распространение ПДн» - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
«Товары» - товары, реализуемые Компанией Контрагентам и Клиентам.
«Трансграничная передача ПДн» - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
«Уничтожение ПДн» - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
«Участники мероприятий» - участники рекламных и иных мероприятий, направленных на продвижение товаров Компании, организуемых и (или) проводимых ООО «Пудофф».
2. ОБЩИЕ ПОЛОЖЕНИЯ
1.2. Термины и определения
2.1 Положение определяет цели, содержание и порядок обработки ПДн, меры, направленные на защиту ПДн, а также процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области ПДн в Компании.
2.2 Настоящее Положение определяет политику Компании как оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.
2.3 Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации (далее – «Трудовой кодекс Российской Федерации»), Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2.4 Обработка ПДн в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством РФ в области ПДн.
2.5 При работе с ПДн во всех случаях, не урегулированных внутренними нормативными документами Компании, необходимо руководствоваться действующим законодательством РФ.
2.6 Настоящее Положение должно быть доведено до сведения всех работников Компании под роспись. Подпись работника на листе ознакомления означает его согласие со всеми требованиями, указанными в настоящем Положении.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Обработка ПДн в Компании должна осуществляться в соответствии со следующими принципами:
3.1.1 Обработка ПДн должна осуществляться на законной и справедливой основе.
3.1.2 Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3.1.3 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4 Обработке подлежат только ПДн, которые отвечают целям их обработки.
3.1.5 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
3.1.6 При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Необходимо принимать меры по удалению или уточнению неполных или неточных данных.
3.1.7 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1.8 Все работники должны быть ознакомлены под подпись с документами Компании, устанавливающими порядок обработки их ПДн, а также их правами и обязанностями в этой области, в соответствии с действующими нормативными документами.
3.2 В целях осуществления внутреннего контроля (аудита) соответствия обработки персональных данных в Компании Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам ООО «Пудофф» приказом Генерального директора на весь срок обработки ПДн Компанией назначается Комиссия по осуществлению внутреннего контроля (аудита). В обязанности Комиссии входит проведение работ по обеспечению безопасности и организации обработки ПДн в Компании. В целях осуществления указанного внутреннего контроля организуется проведение периодических проверок условий обработки ПДн, но не реже одного раза в три года. Проверки осуществляются Комиссией, назначаемой приказом Генерального директора.
3.3 В Компании должен проводиться регулярный анализ соответствия процессов обработки ПДн указанным выше принципам. Данный анализ проводится в случае:
3.3.1 создания новых или внесения изменений в существующие процессы обработки ПДн;
3.3.2 создания новых или внесения изменений в существующие ИСПДн;
3.3.3 изменения нормативной базы, затрагивающей принципы и(или) процессы обработки ПДн в Компании;
3.3.4 в связи с осуществлением внутреннего контроля (аудита) соответствия обработки персональных данных в Компании Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам ООО «Пудофф».
3.4 В Компании не допускается обработка ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов ПДн. Обработка ПДн, касающихся состояния здоровья, осуществляется в случае получения согласия от субъекта ПДн на обработку указанных данных, либо в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.
3.5 В Компании не осуществляется обработка данных о наличии/отсутствии у субъекта ПДн судимости.
3.6 В Компании не осуществляется обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.7 Сотрудники Компании не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
4. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ КОМПАНИЕЙ
С учетом фактически осуществляемой Компанией деятельности, а также деятельности, которая предусмотрена Уставом Компании, и конкретных бизнес-процессов Компании, в Компании выделяются следующие категории субъектов, ПДн которых обрабатываются Компанией:
4.1 Сотрудники Компании;
4.2 Лица, претендующие на замещение вакантных должностей в Компании;
4.3 Бывшие сотрудники Компании;
4.4 Родственники сотрудников Компании;
4.5 Физические лица, с которыми у Компании заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства);
4.6 Лица, направляемые в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала);
4.7 Клиенты Компании;
4.8 Пользователи веб-сервисов;
4.9 Потребители;
4.10 Представители/работники Контрагентов;
4.11 Участники мероприятий.
5.УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ КОМПАНИИ
5.1 Цели обработки ПДн
ПДн сотрудников Компании (лиц, состоящих с Компанией в трудовых отношениях), обрабатываются в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.2 Правовые основания обработки ПДн сотрудников компании
- Трудовой кодекс Российской Федерации;
- Трудовой договор;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- Постановление Минобразования Российской Федерации от 13.01.2003 № 1/29 «Об утверждении Порядка обучения по охране труда и проверки знаний требований охраны труда работников организаций»;
- Федеральный закон №126-ФЗ «О связи»;
- Согласие сотрудника.
5.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 5.1 настоящего Положения, обрабатываются следующие категории ПДн сотрудников:
- фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения);
- число, месяц, год рождения;
- место рождения;
- пол;
- информация о гражданстве (в том числе прежние гражданства, иные гражданства);
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса добровольного медицинского страхования;
- реквизиты свидетельства государственной регистрации актов гражданского состояния;
- семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- сведения об ученой степени;
- информация о владении иностранными языками, степень владения;
- фотография;
- сведения о прежних местах работы;
- сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы, размера денежного содержания (если применимо);
- информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы) (если применимо);
- сведения о пребывании за границей;
- серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
- сведения о доходах;
- номер расчетного счета;
- номер банковской карты;
- содержание трудового договора;
- личные дела и трудовые книжки сотрудников;
- сведения о повышении квалификации и (или) профессиональной переподготовке сотрудников, их аттестации;
- сведения об инвалидности (группа; номер и серия справки, срок действия);
- реквизиты разрешения на работу иностранного гражданина высококвалифицированного специалиста (если применимо);
- реквизиты виз (если применимо);
- реквизиты приглашений на въезд (если применимо);
- данные миграционных карт (если применимо);
- данные уведомлений о постановке на миграционный учет (если применимо).
5.4 Способы обработки ПДн
5.4.1 Обработка ПДн сотрудников Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации так и без использования таких средств (неавтоматизированная обработка).
5.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн сотрудников Компании осуществляется путем:
- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования ПДн в ходе кадровой работы;
- внесения ПДн в информационные системы Компании.
5.6 Обработка специальных категорий ПДн сотрудников Компании осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1. настоящего Положения, в соответствии с подпунктом 2.3; подпунктом 3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения ПДн работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие работника).
5.7 Обработка ПДн сотрудников Компании осуществляется при условии получения согласия указанных лиц в следующих случаях:
- при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
- при трансграничной передаче ПДн;
- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.
5.8 В случаях, предусмотренных пунктом 5.7 настоящего Положения, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено действующим законодательством Российской Федерации, в частности, Федеральным законом «О персональных данных».
5.9 Все ПДн сотрудников Компании следует получать непосредственно у самого сотрудника. Если ПДн сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить сотруднику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа сотрудника дать письменное согласие на их получение.
5.10 Запрещается получать, обрабатывать и приобщать к личному делу сотрудника Компании ПДн, не предусмотренные пунктом 5.3 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.11 При передаче персональных данных сотрудника Компания должна соблюдать следующие требования:
- не сообщать ПДн сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в других случаях, предусмотренных федеральными законами;
- не сообщать ПДн сотрудника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих ПДн сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн сотрудника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн сотрудников в порядке, установленном федеральными законами;
- осуществлять передачу ПДн сотрудника в пределах Компании в соответствии с локальным нормативным актом, с которым сотрудник должен быть ознакомлен под роспись;
- разрешать доступ к ПДн сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн сотрудника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать ПДн сотрудника представителям сотрудников в порядке, установленном федеральными законами, и ограничивать эту информацию только теми ПДн сотрудника, которые необходимы для выполнения указанными представителями их функций.
5.12 В целях обеспечения достоверности ПДн сотрудники обязаны:
- При приеме на работу в Компанию представлять сотрудникам Отдела по работе с персоналом достоверные сведения о себе в порядке и объеме, предусмотренном законодательством РФ;
- В случае изменения ПДн сотрудника: фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, о состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом Отдел по работе с персоналом в течение 5 рабочих дней с даты таких их изменений.
5.13 При сборе ПДн сотрудник Отдела по работе с персоналом, осуществляющий сбор (получение) ПДн непосредственно от сотрудников Компании, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
6. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЦ, ПРЕТЕНДУЮЩИХ НА ЗАМЕЩЕНИЕ ВАКАНТНЫХ ДОЛЖНОСТЕЙ В КОМПАНИИ
6.1 Цели обработки ПДн
ПДн лиц, претендующих на замещение вакантных должностей в Компании, обрабатываются в целях:
- содействия лицам, претендующим на замещение вакантных должностей в Компании, в трудоустройстве;
- подбора персонала на замещение вакантных должностей в Компании;
- формирования кадрового резерва.
6.2 Правовые основания обработки ПДн лиц, претендующих на замещение вакантных должностей в Компании:
- Согласие лица, претендующего на замещение вакантной должности в Компании.
6.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 6.1 настоящего Положения, обрабатываются следующие категории ПДн лиц, претендующих на замещение вакантных должностей в Компании:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- пол;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- сведен