Настоящая Политика в отношении обработки и защиты персональных данных (далее – «Политика») разработана в соответствии со следующими нормативно-правовыми актами:
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. №197-ФЗ;
Налоговый кодекс Российской Федерации: Налоговый кодекс Российской Федерации: часть первая от 31 июля 1998 г. №146-ФЗ и часть вторая от 5 августа 2000 г. №117-ФЗ;
Федеральный закон от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Гражданский кодекс Российской Федерации: часть первая от 30 ноября 1994 г. № 51-ФЗ, часть вторая от 26 января 1996 г. №14-ФЗ, часть третья от 26 ноября 2001 г. №146-ФЗ и часть четвертая от 18 декабря 2006 г. №230-ФЗ;
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1. Термины и принятые сокращения
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способ обработки персональных данных – обработка персональных данных с помощью средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных - обязательное для соблюдения Оператором получившим доступ к персональным данным требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Оператор – организация, обрабатывающая персональные данные.
2. Общие положения
Настоящая Политика определяет принципы, порядок, условия, и цели обработки ПД работников и клиентов ООО «Лайф Инжиниринг» (далее по тексту – «Общество»/«Оператор») с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников Общества, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД.
Политика определяет стратегию защиты ПД, обрабатываемых в Обществе, и формулирует основные принципы и механизмы защиты ПД.
Безопасность ПД достигается путем исключения несанкционированного доступа к ПД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, иные несанкционированные действия. Безопасность ПД при их обработке обеспечивается с помощью системы защиты ПД, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии.
ПД являются конфиденциальной информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
Оригинал настоящей политики хранятся по адресу: Московская область, г. Химки, ул. Ленинградская стр.25. оф.10 пом.1.
Заверенные копии хранятся в обособленных подразделениях.
Электронная версия действующей редакции Политики общедоступна на сайте Оператора по адресу: http://lifeengineering.ru/.
3. Принципы обработки персональных данных
3.1. Обработка ПД в Обществе осуществляется на основе следующих принципов:
законности и справедливости целей и способов обработки ПД;
добросовестности Общества, как Оператора ПД, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки ПД;
соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Общества;
достоверности ПД, их точности и актуальности по отношению к целям обработки ПД;
соответствия объема и содержания обрабатываемых ПД, способов обработки ПД целям обработки ПД;
достаточности ПД для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;
хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки;
уничтожения по достижении целей обработки ПД или в случае утраты необходимости в их достижении.
4. Цели обработки персональных данных
4.1. Персональные данные Клиентов обрабатываются в целях:
4.1.1. Идентификации Клиента, для оформления заказа и/или заключения Договоров (купли-продажи товара, поставки, оказания услуг и иных договоров в соответствии с видами деятельности) с Обществом в случаях, предусмотренных действующим законодательством и Уставом Общества.
4.1.2. Установления с клиентами Общества обратной связи, в том числе для направления уведомлений, информации и запросов, а также обработки заявлений, запросов и заявок клиентов и контрагентов.
4.1.3. Создания учетной записи для совершения покупок, если Пользователь дал согласие на создание учетной записи.
4.2. Организация кадрового учета Общества, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
4.3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе.
4.4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
4.5. Заполнение первичной статистической документации в соответствии с ТК РФ, НК РФ и федеральными законами.
4.6. Рассмотрение резюме кандидатов для дальнейшего трудоустройства в Общество на вакантные должности.
4.7. Заключение, исполнение и изменение трудовых договоров и договоров гражданско-правового характера, которые являются основанием для возникновения трудовых отношений между Обществом и работниками.
4.8. Осуществления прав и законных интересов Общества.
4.9. Иные цели, для достижения которых в соответствии с законодательством Российской Федерации Общество вправе обрабатывать ПД.
4.10. Все выше названные цели обработки ПД осуществляется на основании согласия субъекта ПД.
5. Условия и правила обработки персональных данных
5.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях:
Обработка персональных данных осуществляется с согласия субъекта ПД на обработку его ПД;
Обработка ПД необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Обработка ПД необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения целей деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
При необходимости получения письменного согласия субъекта на обработку его ПД данное согласие субъекта может быть дано как субъектом ПД, так и его представителем в любой форме, позволяющей подтвердить факт его получения.
При поручении обработки ПД другому лицу Общество заключает договор (далее – поручение оператора) с этим лицом и получает согласие субъекта ПД, если иное не предусмотрено Федеральным законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку ПД по поручению Общества, соблюдать принципы и правила обработки ПД, предусмотренные ФЗ «О персональных данных».
В случаях, когда Общество поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПД по поручению Общества, несет ответственность перед Обществом.
Общество и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено Федеральным законом.
Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
6. Персональные данные, не подлежащие обработке Обществом
6.1. Общество не производит обработку следующих ПД:
6.1.1. Обработку биометрических ПД, т.е. сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
6.1.2. Не выполняет обработку специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6.1.3. Трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу) передачу ПД.
6.1.4. Общество не принимает решения, порождающие юридические последствия в отношении субъектов ПД или иным образом затрагивающие права и законные интересы субъекта ПД, на основании исключительно автоматизированной обработки их ПД.
7. Передача персональных данных
7.1. Оператор не предоставляет и не раскрывает сведения, содержащие ПД работников и клиентов третьей стороне без письменного согласия субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
7.2. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий ПД субъекта ПД без его согласия могут быть переданы:
в судебные органы в связи с осуществлением правосудия;
в органы государственной безопасности;
в органы прокуратуры;
в органы полиции;
в следственные органы;
в Роскомнадзор;
в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
7.3. Работники Общества, ведущие обработку ПД, не отвечают на вопросы, связанные с передачей ПД по телефону или факсу.
8. Состав персональных данных
8.1. Общество обрабатывает следующие категории ПД в связи с реализацией трудовых отношений:
фамилия, имя, отчество;
образование;
сведения о трудовом и общем стаже;
сведения о составе семьи;
паспортные данные;
сведения о воинском учете;
ИНН;
СНИЛС;
налоговый статус (резидент/нерезидент);
сведения о заработной плате работника;
сведения о социальных льготах;
специальность;
занимаемая должность;
адрес места жительства;
телефон;
место работы или учебы членов семьи и родственников;
содержание трудового договора;
иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников;
информацию, являющуюся основанием к приказам по личному составу;
медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Обществе;
дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.
8.2. Для целей осуществления уставной (коммерческой) деятельности в Обществе обрабатываются следующие категории ПД клиентов:
фамилия, имя, отчество;
паспортные данные;
телефон;
адрес электронной почты;
ИНН;
налоговый статус (резидент/нерезидент);
специальность;
занимаемая должность;
адрес места жительства/места нахождения;
номер телефона (мобильного и/или стационарного);
СНИЛС;
иные сведения, указанные заявителем.
9. Дата начала обработки персональных данных
9.1. Датой начала обработки ПД является «01» января 2018 года.
10. Сроки обработки и хранения персональных данных
10.1. Период обработки и хранения ПД определяется в соответствии с Законом «О персональных данных» и иным законодательством Российской Федерации.
10.2. Обработка ПД начинается с момента поступления ПД в информационную систему ПД и прекращается:
в случае выявления неправомерной обработки ПД Оператор в срок, не превышающий трех рабочих дней с даты этого выявления прекращает неправомерную обработку ПД или обеспечивает прекращение неправомерной обработки ПД лицом, действующим по поручению Оператора;
в случае достижения цели обработки ПД Оператор прекращает обработку ПД или обеспечивает ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) и по истечении 5 (пяти) лет уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) если иное не предусмотрено договором, стороной которого, выгодоприобретателем по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД либо если Оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством;
в случае отзыва ПД субъектом ПД, Оператор вправе продолжить хранение ПД в течение 5 (пяти) лет с даты такого отзыва, в целях предоставления информация ответов на запросы государственных органов, должностных лиц, судов общей юрисдикции, арбитражных судов, правоохранительных органов и иных лиц, осуществляющих проведение внутренних проверок по правомерности обработки ПД Оператором;
в случае прекращения деятельности Общества.
10.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
10.4. В случае получения согласия клиента (или контрагента) на обработку ПД в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом ПД согласия на обработку его ПД).
11. Порядок уничтожения персональных данных
11.1. Ответственным за уничтожение ПД является лицо, ответственное за организацию обработки и обеспечение безопасности ПД.
11.2. При наступлении любого из событий, повлекших необходимость уничтожения ПД, лицо ответственные за организацию обработки и обеспечение безопасности ПД обязано:
принять меры к уничтожению ПД;
оформить соответствующий Акт об уничтожении ПД (и/или материальных носителей ПД) и представить Акт об уничтожении ПД (и/или материальных носителей ПД) на утверждение генеральному директору Общества;
в случае необходимости уведомить об уничтожении ПД субъекта ПД и/или уполномоченный орган.
11.3. Уничтожение документов, содержащих ПД:
11.3.1. Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
11.3.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
11.3.3. Уничтожение производится комиссией в составе не менее двух человек. Уничтожение документов производится в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов (состав комиссии утверждается приказом). После уничтожения материальных носителей членами комиссии подписывается акт в трех экземплярах (Приложение №1) делается запись в журналах их учета и регистрации (Приложение №2).
11.3.4. Накапливаемые для уничтожения документы, копии документов, черновики, содержащие персональные данные, должны храниться отдельно.
12. Права субъектов персональных данных
12.1. Субъект ПД вправе:
а) если такое право не ограничено в соответствии с федеральными законами - требовать предоставление информации, касающейся обработки его ПД, в том числе содержащей:
подтверждение факта обработки ПД оператором;
правовые основания и цели обработки ПД;
цели и применяемые оператором способы обработки ПД;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании ФЗ «О персональных данных»;
обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
сроки обработки ПД, в том числе сроки их хранения;
порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;
наименование и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные действующим законодательством.
б) требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
в) требовать перечень своих ПД, обрабатываемых Обществом и источник их получения;
г) получать информацию о сроках обработки своих ПД, в том числе о сроках их хранения;
д) требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
12.2. Для реализации вышеуказанных прав субъект ПД, может в порядке, установленном ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Общество с соответствующим запросом. Для выполнения таких запросов представителю Общества может потребоваться установить личность субъекта ПД и запросить дополнительную информацию.
12.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.
13. Меры по обеспечению безопасности персональных данных при их обработке
13.1. Оператор предпринимает необходимые правовые, организационные и технические меры по защите ПД. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере ПД. В том числе:
1) назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
2) контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности ПД Общества;
3) ответственность должностных лиц Общества, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества;
4) получение согласий субъектов ПД на обработку их ПД, за исключением случаев, предусмотренных Российской Федерации;
5) лица, ведущие обработку ПД, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты ПД.
6) разграничены права доступа к обрабатываемым ПД.
7) обеспечено раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях.
8) в целях осуществления внутреннего контроля соответствия обработки ПД установленным требованиям проводятся периодические проверки условий обработки ПД.
9) помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:
предотвращения несанкционированного доступа к системам, в которых хранятся ПД;
резервирование и восстановление ПД, работоспособность технических средств и программного обеспечения, средств защиты информации, в информационных системах ПД модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
обеспечение физической защиты помещений, в которых осуществляется обработка ПД;
установление запрета на передачу ПД по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, Общества и сети Интернет без применения установленных в Общества мер по обеспечению безопасности ПД (за исключением общедоступных и (или) обезличенных ПД);
иные необходимые меры безопасности, предусмотренные законодательством Российской Федерации в области ПД.
14. Гарантии конфиденциальности
14.1. Информация, относящаяся к ПД, ставшая известной в связи с реализацией трудовых отношений, в связи с осуществлением уставной деятельности Общества, является конфиденциальной информацией и охраняется законом.
14.2. Работники Общества, получившие доступ к обрабатываемым ПД обязаны соблюдать тайну об операциях Общества. Исполнение указанной обязанности, обеспечивается путем подписания всеми работниками (сотрудниками) Общества «Обязательства о неразглашении». Принятие и исполнение данного Положения, подписание Обязательства о неразглашении признается необходимым и достаточным для соблюдения тайны об операциях Общества.
14.3. Работники (сотрудники) Общества и иные лица, получившие доступ к обрабатываемым ПД, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПД.
15. Ответственность
15.1. Лица, виновные в нарушении норм регулирующих получение, обработку, хранение и защиту обрабатываемых в Обществе ПД требований несут ответственность, предусмотренную законодательством Российской Федерации.