Политика обработки персональных данных

Утверждена приказом ООО «СБИС Ф1» от 29.12.2016 № 28

1. Общие положения

1.1. Настоящий документ Политика обработки персональных данных (далее-Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в Общество с ограниченной ответственностью «СБИС Ф1» (далее-Оператор, СБИС Ф1 ,Ф1). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика распространяется на Общество с ограниченной ответственностью «СБИС Ф1».

1.3. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

1.4. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки персональных данных, например, в случаях передачи в установленном порядке со стороны организаций из СБИС Ф1 персональных данных подрядчикам, партнерам и иным контрагентам на основании поручений на обработку персональных данных, иных соглашений и договоров.

1.5. Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц на официальном сайте Оператора в информационно-коммуникационной сети «Интернет» по адресу: https://sbis.perm.ru/politika-obrabotki-personalnyh-dannyh/

1.6. Политика действует бессрочно после утверждения и до ее замены новой редакцией

1.7. Все работники Оператора, получающие доступ к обработке ПДн, обязаны быть ознакомлены с Политикой.

2. Основные термины и определения

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);

2.2. Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

2.3. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

2.4. Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

2.5. Уничтожение ПДн - действия, в результате которых невозможно восстановить содержание ПДн в информационной системе ПДн и (или) результате которых уничтожаются материальные носители ПДн;

2.6. Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

2.7. Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

2.8. Обезличивание ПДн - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;

2.9. Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

2.10. Субъект ПДн - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью ПДн;

2.11. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

2.12. Оператор-государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

2.13. Специальная категория ПДн - сведения касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

2.14. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом 27.07.2006 № 152-ФЗ «О персональных данных».

3. Цели и принципы сбора персональных данных

3.1. Оператор обрабатывает ПДн в следующих целях:

3.1.1. Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

3.1.2. Осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;

3.1.3. Осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;

3.1.4. Регулирование трудовых отношений с работниками Оператора (оформление трудоустройства, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам и т.д.);

3.1.5. Организация внутри объектового и пропускного режима;

3.1.6. Предоставление сведений в банковские учреждения для оформления банковской карты и перечисления на нее заработной платы;

3.1.7. Начисления заработной платы работников;

3.1.8. Наделение работников определенными полномочиями (оформление доверенностей);

3.1.9. Подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами, заключаемыми Оператором с контрагентами;

3.1.10. Предоставление пользователям возможности пользоваться сервисами Оператора;

3.1.11. Проведение Оператором рекламных и промо-акций, смс и почтовых рассылок.

3.2. Обработка ПДн осуществляется Оператором на основе следующих принципов:

3.2.1. Законности заранее определенных конкретных целей и способов обработки ПДн;

3.2.2. Ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;

3.2.3. Недопущения обработки ПДн, несовместимой с целями сбора ПДн;

3.2.4. Обработка только тех ПДн, которые отвечают целям их обработки;

3.2.5. Соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

3.2.6. Недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;

3.2.7. Обеспечения точности, достаточности и актуальности ПДн по отношению к целям их обработки;

3.2.8. Уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений обработки ПДн, если иное не предусмотрено федеральным законом.

4. Правовые основания обработки персональных данных

4.1. Политика разработана преимущественно на основе законодательства Российской Федерации в виду регистрации Оператора на территории Российской Федерации. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). Ф1 обрабатывает персональные данные с учетом требований самого 152-ФЗ, его подзаконных актов и нормативнометодических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных.

4.2. Общества, осуществляющие деятельность по обработке персональных данных граждан Российской Федерации, каждое по отдельности регистрируются в реестре Уполномоченного органа Российской Федерации по защите прав субъектов персональных данных (далее — Роскомнадзор) в качестве операторов персональных данных. Информацию об операторах любое лицо может получить через интернет, осуществив поиск в реестре по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/. В реестре указываются предусмотренные законодательством Российской Федерации сведения об операторе применительно к соответствующему Обществу, в том числе:

4.2.1. Полное наименование и местонахождение оператора персональных данных;

4.2.2. Сведения о лицах, ответственных за организацию обработки персональных данных;

4.2.3. Контактная информация для обращений;

4.2.4. Сведения о местах расположения баз данных информационных систем персональных данных;

4.2.5. Сведения об обработке персональных данных и мерах по обеспечению безопасности;

4.2.6. Сведения об осуществлении трансграничной передачи персональных данных;

4.2.7. Иные предусмотренные 152-ФЗ сведения об операторах персональных данных.

4.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

4.3.1. Конституция Российской Федерации;

4.3.2. Трудовой кодекс Российской Федерации;

4.3.3. Гражданский кодекс Российской Федерации;

4.3.4. Налоговый кодекс Российской Федерации;

4.3.5. Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;

4.3.6. Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;

4.3.7. Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;

4.3.8. Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;

4.3.9. Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

4.3.10. Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

4.3.11. Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;

4.3.12. Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;

4.3.13. Устав ООО «СБИС Ф1»;

4.3.14. Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации»;

5. Объем и категории обрабатываемых персональных данных

5.1. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

5.1.1. Заключение трудовых отношений с физическими лицами, подбор персонала;

5.1.2. Заключение, выполнение, продление, договорных отношений Обществ;

5.1.3. Соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации;

5.1.4. Использование юридическими и физическими лицами веб-сайтов и иных информационных ресурсов Обществ в соответствии с их правилами пользования, лицензионными договорами;

5.1.5. Регистрация, идентификация и персонализация пользователей сайтов, приложений и иных информационных ресурсов Обществ; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей;

5.1.6. Осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения программных продуктов, товаров, работ и услуг партнерских организаций;

5.1.7. Организация конференций, семинаров, вебинаров, иных публичных мероприятий в интересах Общества, партнерских организаций, профессиональных сообществ;

5.1.8. Прохождение физическими лицами стажировок, практик в Обществах, обучения в партнерских образовательных учреждениях;

5.2. К основным категориям субъектов ПДн, чьи данные обрабатываются Оператором, относятся:

5.2.1. Физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с Оператором;

5.2.2. Физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;

5.2.3. Кандидаты на замещение вакантных должностей;

5.2.4. Физические лица, проходящие в Ф1 стажировки, практики от учебных заведений;

5.2.5. Физические лица, обратившиеся в Общество с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;

5.2.6. Физические лица, участвующие в интервью, опросах, аналитических и маркетинговых исследованиях по тематике деятельности Обществ;

5.2.7. Участники мероприятий, организованных Обществом или организациями партнерами;

5.3. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:

5.3.1. Личная информация (фамилия, имя, отчество, в том числе, прежние; пол; год, месяц, дата рождения; возраст; место рождения, национальность, гражданство);

5.3.2. Контактная информация (почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в социальных сетях и сервисах коммуникаций); адреса регистрации и фактического проживания;

5.3.3. Сведения о документах, удостоверяющих личность; водительском удостоверении; сведения о идентификационных номерах субъекта в государственных системах учета (например, ИНН, СНИЛС и др.); сведения о полисах обязательного и добровольного медицинского страхования;

5.3.4. Профессиональная деятельность (место работы; должность; структурное подразделение; табельный номер; стаж; участие в юридических лицах; полномочия);

5.3.5. Навыки и квалификация (полученное образование; профессия; присвоенные специальности; владение иностранными языками; пройденные обучающие курсы, стажировки и практики);

5.3.6. Сведения о семье (семейное положение; состав семьи; законные представители, ближайшие родственники);

5.3.7. Финансовое состояние; платежные реквизиты; доходы; сведения о налоговых и иных отчислениях в государственные фонды; сведения о начислениях и удержаниях денежных средств, вознаграждений в иной форме; сведения о совершенных покупках, заказах товаров и услуг; сведения о платежах;

5.3.8. Сведения о воинском учете; сведения о миграционном учете;

5.3.9. Фото- и видеоизображение,речевая информация (запись голоса);

5.3.10. Электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования приложений и информационных ресурсов Общества, действия пользователей в сервисах, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент); сертификаты электронной подписи;

5.3.11. Сведения о поощрениях, наградах, взысканиях и привлечении к ответственности

5.4. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

5.5. Обработка персональных данных в Обществе ведется смешанным способом: с использованием средств автоматизации и без

5.6. Действия с персональными данными включают: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление, уничтожение.

5.7. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

5.7.1. Достижение целей обработки персональных данных или максимальных сроков хранения - в течение 30 дней;

5.7.2. Утрата необходимости в достижении целей обработки персональных данных - в течение 30 дней;

5.7.3. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;

5.7.4. Невозможность обеспечения правомерности обработки персональных данных -в течение 10 дней;

5.7.5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных- в течение 30 дней;

5.7.6. Отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;

5.7.7. Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

5.7.8. Ликвидация (реорганизация) Оператора.

5.8. Трансграничная передача ПДн субъектов Оператором не осуществляется



6. Получение согласия субъекта на обработку его персональных данных

6.1. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

6.1.1. Цели, условия, сроки обработки персональных данных;

6.1.2. Обязательства сторон, в том числе меры по обеспечению конфиденциальности;

6.1.3. Права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

6.2. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий:

6.2.1. Договора-оферты;

6.2.2. Проставления соответствующих отметок;

6.2.3. Заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством;

6.2.4. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

6.2.5. В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных 152-ФЗ, а также в соответствии с иными применимыми требованиями, типовыми формами.

7. Конфиденциальность и безопасность персональных данных

7.1. Для персональных данных в Обществе обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Обществ, условиями заключенных соглашений и договоров, кроме случаев:

7.1.1. Если персональные данные являются общедоступными, содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения;

7.1.2. Если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с применимым к Обществу законодательству.

7.2. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

7.2.1. Назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

7.2.2. Проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

7.2.3. Издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

7.2.4. Обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;

7.2.5. Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

7.2.6. Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

7.2.7. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;

7.2.8. Учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

7.2.9. Резервное копирование информации для возможности восстановления;

7.2.10. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

8. Права субъектов персональных данных

8.1. Субъект ПДн имеет право на получение информации, касающейся обработки его, ПДн, в том числе содержащей:

8.1.1. Подтверждение факта обработки персональных данных Оператором;

8.1.2. Правовые основания и цели обработки персональных данных;

8.1.3. Цели и применяемые Оператором способы обработки персональных данных;

8.1.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

8.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

8.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;

8.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8.1.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

8.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

8.1.10. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Субъект ПДн имеет право отозвать согласие на обработку ПДн, направив соответствующий запрос Оператору по почте или обратившись лично.

8.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.

8.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Роли и ответственность

9.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

9.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

9.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

9.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

10. Опубликование и актуализация Политики

10.1. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора.

10.2. Предложения и замечания для внесения изменений в Политику следует направлять по адресу person.data@f1group.ru

10.3. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

10.4. Политика является общедоступным документом Общества и предусматривает возможность ознакомления любых лиц с ее действующей версией, путем опубликования в сети интернет по адресу: https://f1group.ru/politika-obrabotki-personalnyh-dannyh/