Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных в ООО «Терра Ассистанс» (далее — «Политика») определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ООО «Терра Ассистанс» (далее — «Компания») персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в Компании требованиях к защите персональных данных.
1.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также регламентации принципов и основных требований к обработке персональных данных в Компании в соответствии с нормами действующего законодательства Российской Федерации.
1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Компании, в том числе при их обработке в Информационных системах, содержащих персональные данные, разрабатываются в Компании с учетом положений настоящей Политики.
1.4. Настоящая Политика распространяется на отношения в области обработки персональных данных, возникшие у Компании как до, так и после утверждения настоящей Политики.
1.5. В Политике используются следующие термины: • Персональные данные (далее – «ПД») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
- Обработка ПД – любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием средств автоматизации или без их использования. Обработка ПД включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
- Распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц;
- Предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
- Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
- Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в Информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
- Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту персональных данных;
- Информационная система ПД – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ И СУБЪЕКТОВ ПД
2.1. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Компания обязуется обеспечить доступность данной Политики для неограниченного числа лиц посредством ее публикации в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Компании.
2.2. Компания обязуется при сборе ПД информировать субъектов ПД об их обработке, и при отказе субъекта ПД предоставить Компании его ПД разъяснять субъекту ПД последствия такого отказа.
2.3. Должностные лица Компании, в обязанности которых входит обработка запросов и обращений субъектов ПД, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их ПД, если иное не предусмотрено действующим законодательством Российской Федерации, в соответствии с актуальной редакцией Регламента реагирования на запросы субъектов ПД, принятого в Компании.
2.4. Компания обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов ПД или иным образом затрагивающие их права и законные интересы.
2.5. Компания обязуется выполнять требования действующего законодательства Российской Федерации, предъявляемые к безопасности обработки и процесса передачи ПД, в том числе Трансграничной передачи ПД.
2.6. Компания, получив доступ к ПД, обязана не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено действующим законодательством Российской Федерации.
2.7. В целях защиты своих ПД, хранящихся в Компании, субъект ПД имеет право:
- получить доступ к своим ПД; • получить информацию, касающуюся целей, правовых оснований, способов и сроков обработки его ПД;
- требовать исключения или исправления неверных или неполных ПД;
- получать свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей ПД;
- дополнить ПД оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих ПД;
- требовать сохранения и защиты своей личной и семейной тайны;
- обжаловать в суде любые неправомерные действия или бездействия Компании при обработке и защите его ПД. 2.8. Работники Компании обязаны:
- в случаях, предусмотренных действующим законодательством Российской Федерации или соответствующим договором, передавать Компании достоверные документы, содержащие ПД;
- не предоставлять неверные ПД, а в случае изменений в ПД, обнаружения ошибок или неточностей в них сообщать об этом Компании в порядке, определенном актуальной редакцией Правил внутреннего трудового распорядка Компании.
3. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПД
3.1. Обработка ПД в Компании осуществляется в целях:
- обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации
- реализации процесса подбора персонала для работы в Компании
- регулирования трудовых отношений с работниками Компании
- организации постановки на индивидуальный (персонифицированный) учет работников Компании в системе обязательного пенсионного страхования Российской Федерации
- исполнения обязанности Компании по исчислению и уплате страховых взносов за работников Компании
- передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности и иной информации, содержащей ПД, предусмотренных действующим законодательством Российской Федерации
- ведения бухгалтерского учета Компании
- осуществления пропускного режима в офисных помещениях Компании
- подготовки, заключения, исполнения и расторжения договоров с контрагентами Компании и иных форм осуществления гражданско-правовых отношений
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с действующим законодательством Российской Федерации об исполнительном производстве
- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании
- в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания ПД в соответствии с действующим законодательством Российской Федерации
- в иных законных целях.
3.2. Компания осуществляет обработку ПД работников Компании и других субъектов ПД, не состоящих с Компанией в трудовых отношениях, в соответствии со следующими принципами:
- обработка ПД осуществляется на законной и справедливой основе
- обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД
- обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД
- не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой
- обработке подлежат только ПД, которые отвечают целям их обработки
- содержание и объем обрабатываемых ПД соответствует заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки
- при обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. В Компании принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПД
- хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД
- обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПД
4.1. Данная Политика определяется в соответствии со следующими нормативными правовыми актами:
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- Трудовой кодекс Российской Федерации
- Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»
- постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
- постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»
- Федеральный закон Российской Федерации от 14 июля 2022 г. № 266-ФЗ “О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.2. В целях реализации положений Политики в Компании разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
- положение о порядке хранения и обработке ПД работников Компании
- положение об обеспечении безопасности ПД при их обработке в информационных системах ПД Компании
- иные локальные нормативные акты и документы, регламентирующие вопросы обработки ПД в Компании.
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПД. КАТЕГОРИИ
СУБЪЕКТОВ ПД
5.1. Объем ПД, обрабатываемых в Компании, определяется в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки ПД, указанных в разделе 3 настоящей Политики.
5.2. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.
5.3. В Компании обрабатываются ПД следующих категорий субъектов:
- кандидатов, работников, ближайших родственников работников и лиц, ранее состоявших в трудовых отношениях с Компанией
- физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности
- контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц).
5.4. Объем обрабатываемых ПД кандидатов на принятие на работу в Компанию:
- общие сведения (Ф.И.О. кандидата, дата рождения, место рождения, пол, гражданство, сведения об образовании, сведения о владении иностранными языками, семейное положение, состав семьи, адрес места жительства, контактный номер телефона)
- сведения о трудовой деятельности • сведения о воинском учете • прочие сведения, предоставляемые кандидатами самостоятельно, обработка которых не противоречит настоящей Политике.
5.5. Обработка ПД кандидатов на принятие на работу в Компанию осуществляется в целях определения возможности принятия кандидатов на работу в Компанию.
5.6. Объем обрабатываемых ПД работников Компании:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, пол, гражданство, сведения об образовании, сведения о владении иностранными языками, семейное положение, состав семьи, паспортные данные, адрес места жительства, контактный номер телефона)
- сведения о трудовой деятельности • сведения о воинском учете
- банковские реквизиты работника, необходимые для перечисления заработной платы
- биометрические данные работника • прочие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства Российской Федерации • сведения о переводах на другую работу
- сведения об аттестации, повышении квалификации, профессиональной переподготовке
- сведения о наградах (поощрениях), почетных званиях
- сведения об инвалидности
- сведения медицинских заключений
- сведения о социальных льготах, на которые работник имеет право в соответствии с действующим законодательством Российской Федерации.
5.7. Обработка ПД работников Компании осуществляется в целях:
- ведения кадрового делопроизводства;
- реализации контроля и учета доступа в офисные помещения Компании
- учета рабочего времени работников
- расчета заработной платы работников
- ведения налогового учета
- ведения воинского учета
- предоставления в государственные органы регламентированной отчетности
- обязательного и добровольного медицинского страхования работников
- бронирования и оплаты билетов на различные виды транспорта и гостиничных номеров работникам при направлении их в служебные командировки
- архивного хранения данных
- содействия работнику в трудоустройстве, обучении, продвижении по службе, использовании различных льгот, предусмотренных локальными нормативными актами Компании и действующим законодательством Российской Федерации.
5.8. Объем обрабатываемых ПД ближайших родственников работников Компании:
- общие сведения (Ф.И.О. и дата рождения ближайшего родственника, пол, данные документов, удостоверяющих личность, контактный номер телефона)
5.9. Обработка ПД ближайших родственников работников Компании осуществляется в целях:
- расчета выплат в рамках системы социальных гарантий в соответствии с действующим законодательством Российской Федерации
- предоставления в государственные органы регламентированной отчетности;
- архивного хранения данных
- содействия работнику в использовании различных льгот и получении материальной помощи, предусмотренных локальными нормативными актами Компании и действующим законодательством Российской Федерации.
5.10. Объем обрабатываемых ПД физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности, а также контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц) определяется в соответствии с внутренними нормативными документами Компании на основании утвержденных форм документов (договоров, регламентов, заявок и т.п.).
5.11. Обработка ПД физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности, а также контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц) осуществляется в целях:
- реализации уставных целей Компании;
- исполнение договоров, стороной которых, выгодоприобретателем или поручителем по которым является субъект ПД;
- осуществление сделок в соответствии с действующим законодательством Российской Федерации.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПД
6.1. Компания при осуществлении обработки ПД:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований действующего законодательства Российской Федерации и локальных нормативных актов Компании в области ПД
- принимает правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД
- назначает лицо, ответственное за организацию обработки ПД в Компании
- издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПД в Компании
- осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку ПД, с положениями действующего законодательства Российской Федерации и локальных нормативных актов Компании в области ПД, в том числе требованиями к защите ПД, и обучение указанных работников
- публикует в информационно-телекоммуникационной сети Интернет на официальном сайте Компании или иным образом обеспечивает неограниченный доступ к настоящей Политике
- сообщает в установленном порядке субъектам ПД или их законным представителям информацию о наличии ПД, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПД при обращении и (или) поступлении запросов указанных субъектов ПД или их представителей, если иное не установлено действующим законодательством Российской Федерации
- прекращает обработку и уничтожает ПД в случаях, предусмотренных действующим законодательством Российской Федерации
- совершает иные действия, предусмотренные действующим законодательством Российской Федерации в области ПД.
6.2. Обработка ПД в Компании осуществляется с согласия субъекта ПД на обработку его ПД, если иное не предусмотрено действующим законодательством Российской Федерации.
6.3. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПД.
6.4. Обработка ПД в Компании осуществляется следующими способами:
- без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
- автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
6.5. Для отдельных категорий ПД, обрабатываемых Компанией, допускается Трансграничная передача ПД в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства (в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274) с согласия субъекта ПД в письменной форме.
7. АКТУАЛИЗАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПД. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПД
7.1. Сроки хранения ПД в Компании определяются в соответствии с действующим законодательством Российской Федерации и зависят от состава обрабатываемых данных.
7.2. В случае предоставления субъектом ПД фактов о неполных, устаревших, недостоверных или незаконно полученных ПД Компания обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПД.
7.3. В случае подтверждения факта неточности ПД они подлежат их актуализации Компанией, а или неправомерности их обработки такая обработка должна быть прекращена.
7.4. При достижении целей обработки ПД, а также в случае истечения срока согласия на обработку ПД или отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению, если:
- Компания не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных» или иными нормативными правовыми актами Российской Федерации;
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД
- иное не предусмотрено иным соглашением между Компанией и субъектом ПД.
7.5. ПД подлежат уничтожению при получении соответствующего предписания от уполномоченного органа по защите прав субъектов ПД вне зависимости от оставшегося срока согласия на обработку ПД.
7.6. Компания обязана сообщить субъекту ПД или его законному представителю информацию об осуществляемой обработке ПД такого субъекта по запросу последнего в соответствии с актуальной редакцией Регламента реагирования на запросы субъектов ПД, принятого в Компании.