Содержание

1. Общие положения
2. Принципы обработки персональных данных
3. Основные права и обязанности Компании и Субъекта персональных данных
4. Цели обработки
5. Правовые основания обработки персональных данных
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7. Порядок и условия обработки персональных данных
8. Меры Компании, направленные на обеспечение выполнения обязанностей по обработке и защите персональных данных
9. Порядок реагирования на запросы/обращения Субъектов персональных данных
10. Термины и определения

1. Общие положения

1.1. Политика ООО «КОНСПАР» в отношении обработки персональных данных (далее — Политика) является основополагающим документом, определяющим общие принципы, цели, правовые основания обработки персональных данных, основные права и обязанности ООО «КОНСПАР» (далее — Компания) и субъектов персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных в ООО «КОНСПАР», а также меры по обеспечению безопасности персональных данных при их обработке.

1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами и подзаконными актами РФ, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.

1.3. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Компании.

1.4. Положения Политики являются основой для организации работы по обработке персональных данных в Компании, в том числе для разработки внутренних нормативных документов, регламентирующих процесс обработки персональных данных в Компании.

1.5. Политика является обязательной для исполнения всеми работниками, непосредственно обрабатывающими персональные данные или имеющими доступ к ним.

1.6. Требования Политики учитываются в отношениях с третьими лицами при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональных данных на основании сделок.

1.7. Неограниченный доступ к Политике обеспечивается Компанией путем публикации на сайтах и в мобильных приложениях Компании (при наличии) и размещения в иных местах (на постах охраны, информационных щитах и др.), определенных Компанией.

2. Принципы обработки персональных данных

2.1. Компания осуществляет обработку персональных данных на основе общих принципов:

1. законности и справедливой основы;
2. ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, совместимости обработки персональных данных с целями сбора;
3. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
4. соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5. недопущения обработки персональных данных, избыточных по отношению к заявленным целям обработки персональных данных;
6. обеспечения точности, достаточности и актуальности персональных данных по отношению к заявленным целям обработки;
7. уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
8. обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

3. Основные права и обязанности Компании и Субъекта персональных данных

При обработке персональных данных Компания и Субъект персональных данных реализуют следующие права и обязанности.

3.1. Компания вправе:

1. обрабатывать персональные данные Субъекта в соответствии с заявленной целью;
2. требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством РФ о персональных данных;
3. обрабатывать общедоступные персональные данные;
4. поручать обработку персональных данных другому лицу с согласия Субъекта персональных данных;
5. предоставлять персональные данные третьим лицам, если это предусмотрено законодательством РФ (налоговые, правоохранительные органы и др.);
6. отстаивать свои интересы в суде;
7. осуществлять иные права, предусмотренные законодательством РФ.

3.2. Субъект персональных данных вправе:

1. получать от Компании информацию, касающуюся обработки его персональных данных, в том числе содержащую:
   1. подтверждение факта обработки персональных данных Компанией;
   2. правовые основания и цели обработки персональных данных;
   3. цели и применяемые Компанией способы обработки персональных данных;
   4. наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
   5. обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
   6. сроки обработки персональных данных, в том числе сроки их хранения;
   7. порядок осуществления Субъектом персональных данных прав, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»;
   8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
   9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
   10. иные сведения, предусмотренные ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
2. предоставлять Компании достоверные персональные данные;
3. уведомлять Компанию об изменении своих персональных данных в срок не более 3 рабочих дней с даты их изменения;
4. требовать у Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
5. принимать предусмотренные законом меры по защите своих прав;
6. отозвать свое согласие на обработку персональных данных.

3.3. Компания обязана:

1. предоставить Субъекту по его запросу информацию, предусмотренную п. 3.2.1 Политики;
2. разъяснить Субъекту юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;
3. при сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов — граждан Российской Федерации с использованием баз данных, находящихся на территории РФ;
4. исполнять иные обязанности, предусмотренные законодательством РФ.

4. Цели обработки

Персональные данные обрабатываются в Компании в целях:

1. Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов и иных внутренних документов Компании.
2. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом, а также предусмотренных локальными нормативными актами Компании.
3. Осуществления прав и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, ФГИС, а также в иные органы власти.
4. Осуществления трудовых отношений с работниками Компании, в том числе кадрового учета, расчета, начисления и перечисления заработной платы, содействия в трудоустройстве, осуществления мероприятий по обучению, развитию и оценке персонала, оценке эффективности и результатов работы Работника, его продвижения по службе, организации получения, сопровождения и обслуживания использования электронной подписи, контроля количества и качества выполняемой работы, проведения внутренних служебных расследований и проверок, организации Компанией хранения и уничтожения документов, в том числе после прекращения трудовых отношений.
5. Предоставления работникам Компании и членам их семей дополнительных льгот и гарантий, в том числе добровольного медицинского страхования, материальной помощи и других видов льгот и гарантий, предусмотренных локальными нормативными актами Компании, вручения подарков, организации корпоративных праздников, исполнения судебных решений о взыскании с Работников денежных средств в адрес родственников Работников.
6. Подбора персонала и формирования кадрового резерва.
7. Предоставления услуг удостоверяющего центра по созданию, выдаче и прекращению сертификатов ключа проверки электронной подписи, а также предоставления иных услуг пользователям информационных систем в области использования электронных подписей.
8. Организации служебных поездок (приобретение транспортных билетов, организация проживания, визовой миграционной поддержки, помощи при переездах, страхование, организация перевозок), мероприятий (конференций, семинаров, опросов, мастер-классов, встреч, праздников).
9. Осуществления комплаенс-контроля и противодействия коррупции в Компании.
10. Обеспечения пропускного и внутриобъектового режимов на территории Компании, обеспечения безопасности работников Компании и посетителей, сохранности имущества Компании, выявления и расследования инцидентов на территории Компании.
11. Ведения бухгалтерского и налогового учета, уплаты налогов.
12. Проверки контрагента в целях соблюдения внутренних нормативных документов Компании, связанных с принятием и продолжением отношений с контрагентом.
13. Подготовки, заключения, исполнения и прекращения договоров, стороной которых либо выгодоприобретателем, либо поручителем, по которым является Субъект.
14. Подготовки, заключения, исполнения и прекращения договоров с контрагентами Компании, учета выданных доверенностей, поддержания деловых отношений с контрагентом.
15. Регистрации посетителей на сайте Компании, предоставления доступа к его отдельным разделам, предоставления информации о Компании и ее группе лиц, об услугах и мероприятиях Компании, коммуникации с посетителями сайта, организации участия посетителей в проводимых мероприятиях, праздниках и опросах, направления посетителям новостных материалов, выполнения полномочий и обязанностей, возложенных на Компанию законодательством РФ.
16. включения в общедоступные источники информации.
17. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации.
18. Исполнения запросов уполномоченных государственных и муниципальных органов и Субъектов персональных данных.
19. В иных законных целях.

5. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных для достижения целей, указанных п. 4 Политики, являются:

5.1. Федеральные законы и принятые на их основе нормативные правовые акты:

1. Трудовой кодекс Российской Федерации;
2. Гражданский кодекс Российской Федерации;
3. Налоговый кодекс Российской Федерации;
4. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
5. Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
6. Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
7. Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
8. Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
9. Федеральный закон от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции»;
10. Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
11. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
12. Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
13. Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
14. Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
15. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
16. Иные нормативные правовые акты РФ, субъектов РФ и органов местного самоуправления.

5.2. Устав Компании.
5.3. Договоры, стороной которых либо выгодоприобретателем или поручителем, по которым является Субъект.
5.4. Договоры, заключаемые между Компанией и иным лицом, поручившим Компании обработку персональных данных.
5.5. Локальные нормативные акты и иные внутренние документы Компании.
5.6. Согласие на обработку персональных данных.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1. Перечень персональных данных, обрабатываемых в Компании, включает, но не ограничивается следующими данными:

фамилия, имя, отчество, пол, гражданство, адрес электронной почты, номер телефона, адрес регистрации, адрес фактического проживания, семейное положение, сведения о составе семьи, дата рождения ребенка, СНИЛС, ИНН, дата и место рождения, сведения об образовании, сведения о предыдущих местах и опыте работы, знание иностранных языков, реквизиты банковского счета, сведения о трудовом и общем стаже, уровень заработной платы, номер и марка личного транспортного средства, данные паспорта (общегражданского, заграничного) или иного документа, удостоверяющего личность субъекта, данные документов, дающих право на пребывание и трудовую деятельность на территории Российской Федерации, сведения о воинском учете, данные по социальным льготам, профессия, табельный номер, сведения о занимаемой должности, данные водительского удостоверения, фото- и видеоизображение, сведения о состоянии здоровья, файлы-cookies.

6.2. Категории субъектов:

1. работники Компании;
2. бывшие работники Компании;
3. кандидаты на замещение вакантных должностей Компании;
4. родственники работников Компании;
5. представители или работники контрагентов (юридических лиц);
6. представители Компании;
7. другие субъекты персональных данных.

6.3. Обработка специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные убеждения, интимная жизнь) в Компании не осуществляется.

7. Порядок и условия обработки персональных данных

7.1. Способы обработки:

1. неавтоматизированная;
2. автоматизированная (с передачей по сетям или без);
3. смешанная.

7.2. Компания осуществляет: сбор, получение, запись, систематизацию, поиск, анализ, сравнение, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление, уничтожение и иные действия.

7.3. Компания вправе поручать обработку другому лицу с согласия субъекта (если иное не предусмотрено законом), на основании договора.

7.4. Ответственность за действия лица-исполнителя перед Субъектом несет Компания.

7.5. Компания и иные лица, получившие доступ к ПД, обязаны не раскрывать их без согласия (если иное не предусмотрено законом).

7.6. Компания не осуществляет трансграничную передачу персональных данных.

7.7. Передача без согласия возможна по запросу:

• судебных органов;
• органов госбезопасности;
• прокуратуры;
• полиции;
• следственных органов;
• иных органов по закону.

7.8. Обработка данных о состоянии здоровья — только с согласия или по закону.

7.9. Хранение — не дольше, чем требуют цели обработки (если иное не установлено законом/договором).

7.10. Обработка прекращается при: достижении цели, истечении срока действия согласия, отзыве согласия, выявлении неправомерной обработки.

7.11. Уточнение данных — в течение 7 рабочих дней со дня запроса.

7.12. Прекращение неправомерной обработки — в течение 3 рабочих дней.

7.13. Уничтожение данных происходит в течение:

• 30 дней — при достижении целей, утрате необходимости, истечении сроков исковой давности;
• 7 дней — при подтверждении незаконности/ненужности данных;
• 10 дней — при невозможности обеспечить правомерность.

8. Меры Компании по обеспечению безопасности персональных данных

8.1. Компания самостоятельно определяет меры защиты в рамках 152-ФЗ.

8.2. Применяются следующие меры:

1. Назначено лицо, ответственное за организацию обработки ПД;
2. Изданы Политика и локальные акты, регулирующие обработку ПД;
3. Обеспечена физическая безопасность (пропускной режим, охрана, видеонаблюдение);
4. Осуществляется внутренний контроль и аудит;
5. Проводится ознакомление/обучение сотрудников;
6. Применяются иные технические и организационные меры.

8.3. В частности:

• Анализ угроз;
• Применение сертифицированных средств защиты;
• Оценка эффективности мер до запуска ИСПДн;
• Учет носителей;
• Обнаружение и предотвращение НСД;
• Восстановление данных;
• Разграничение прав доступа и аудит действий;
• Контроль эффективности защиты.

8.4. Конкретные меры — в локальных актах Компании.

9. Порядок реагирования на запросы Субъектов

9.1. Субъект может:

1. обратиться лично в офис;
2. направить письменный запрос (в т.ч. электронный, подписанный ЭП).

Рекомендуемые формы — в приложениях 1–8 (не включены в текущий HTML-файл).

9.4. Обращения принимаются ответственным лицом.

9.5. Повторный запрос — не ранее чем через 30 дней (если иное не предусмотрено законом).

9.7. Компания обязуется в течение 30 дней:

• безвозмездно предоставить информацию или мотивированно отказать;
• уведомить об изменениях/принятых мерах;
• уведомить об устранении нарушений или уничтожении данных при неправомерной обработке.

9.8. Информация предоставляется в доступном формате и не содержит ПД других лиц.

Термины и определения

№	Термин	Определение
1	Автоматизированная обработка ПД	обработка ПД с помощью средств вычислительной техники
2	Блокирование ПД	временное прекращение обработки ПД (кроме случаев уточнения)
3	Информационная система ПД	совокупность ПД в БД и обеспечивающих их обработку ИТ и техсредств
4	Обезличивание ПД	действия, после которых невозможно без доп. информации определить субъекта ПД
5	Обработка ПД	любое действие с ПД (сбор, запись, хранение, использование, передача, уничтожение и др.)
6	Оператор	ООО «КОНСПАР», организующее и/или осуществляющее обработку ПД
7	Персональные данные	любая информация, относящаяся к прямо или косвенно определённому физическому лицу
8	Предоставление ПД	раскрытие ПД определённому лицу или кругу лиц
9	Распространение ПД	раскрытие ПД неопределённому кругу лиц
10	Субъект ПД	физическое лицо, которому относятся ПД
11	Уничтожение ПД	действия, после которых невозможно восстановить ПД (в ИСПДн и/или на носителях)
12	Файлы-cookies	небольшие текстовые файлы, размещаемые сайтом на устройстве пользователя