Политика в отношении обработки и защиты персональных данных |
Общества с ограниченной ответственностью «ВэбСофт Энергоконсалт» |
1. Общие положения |
1.1. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «ВэбСофт Энергоконсалт» (далее – Оператор, Общество). |
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. |
1.3. Пересмотр настоящей Политики осуществляется в случае изменений законодательства РФ в области персональных данных по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий, но не реже 1 раза в год. |
1.4. Ответственность за актуальность Политики и организацию реализации положений, описанных в Политике, возлагается на ответственного за организацию обработки персональных данных, назначенного на основании приказа Общества. |
1.5. Настоящая политика публикуется в свободном доступе в информационно- телекоммуникационной сети Интернет на сайте Оператора во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ. |
2. Термины и определения |
2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. |
2.2. Биометрические персональные данные – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. |
2.3. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
2.4. Веб-сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу info@energokonsalt.tech. |
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных. |
2.6. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий, и технических средств. |
2.7. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
2.8. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
2.9. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. |
2.10. Работник – лицо, состоящее с Обществом в трудовых отношениях на основании заключенного трудового договора. |
2.11. Посетитель веб-сайта – это уникальный пользователь сети Интернет, который зашел на веб-сайт в течение определенного промежутка времени. |
2.12. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
2.13. Распространение персональных данных - любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. |
2.14. Уничтожение персональных данных - любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных. |
2.15. Смешанная обработка персональных данных – обработка персональных данных с помощью средств автоматизации, а также без нее. |
3. Правовое основание обработки персональных данных |
3.1. Правовым основанием обработки персональных данных являются: |
Конституция Российской Федерации;
Гражданский кодексом Российской Федерации;
Налоговый кодексом Российской Федерации;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ;
Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти, регулирующие отношения, связанные с деятельностью оператора в рамках обработки персональных данных;
уставные документы оператора;
договора, заключаемые между оператором и субъектом персональных данных;
согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора). |
4. Цели и задачи обработки персональных данных |
4.1. Оператор осуществляет обработку персональных данных в следующих случаях: |
4.1.1. осуществления трудовой деятельности работниками Общества, содействия работникам в трудоустройстве, обучении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, в том числе исполнения требований законодательства в связи исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, ведения кадрового делопроизводства в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, и иными нормативными правовыми актами. Взаимодействие кандидатами на работу (соискателями), взаимодействие с родственниками работников; |
4.1.2. осуществления финансовых операций и иной деятельности, предусмотренной Уставом Общества, действующим законодательством Российской Федерации; |
4.1.3. заключения и последующего исполнения договоров оказания услуг, заключенных между Клиентом и Обществом; |
4.1.4. иные цели, для достижения которых в соответствии с законодательством Российской Федерации Общество вправе обрабатывать персональные данные Клиента. |
5. Объем обрабатываемых персональных данных, перечень субъектов персональных данных |
5.1. К категориям субъектов персональных данных относятся: |
5.1.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников. В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений: |
|
|
|
|
| • | дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); |
|
| • | адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); |
|
| • | сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира); |
|
| • | номера телефонов (домашний, мобильный, рабочий); |
|
| • | адрес электронной почты; |
|
|
| • | сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах)); |
|
| • | идентификационный номер налогоплательщика; |
|
| • | данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа; |
|
| • | данные паспорта или иного удостоверяющего личность документа; |
|
| • | сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках); |
|
| • | сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации); |
|
| • | сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам); |
|
| • | сведения о судимости (наличие (отсутствие) судимости, дата (число, месяц, год) привлечения к уголовной ответственности (снятия или погашения судимости), статья); |
|
| • | данные об исполнительных листах/судебных приказах, включая сведения о выплате алиментов; |
|
| • | сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), с какого времени в браке, с какого времени в разводе, количество браков, состав семьи, реквизиты свидетельства о заключении брака); |
|
| • | сведения о близких родственниках, свойственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения, место и адрес работы (службы), адрес места жительства, сведения о регистрации по месту жительства или пребывания); |
|
| • | сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера; |
|
|
|
5.1.2. Клиенты оператора |
5.1.3. Контрагенты, представители контрагентов. |
В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является контрагент (юридическое лицо) и используемые оператором исключительно для исполнения указанного договора: |
|
| • | дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); |
|
|
| • | номера телефонов (домашний, мобильный, рабочий); |
|
| • | адрес электронной почты; |
|
|
| • | данные паспорта или иного удостоверяющего личность документа; |
|
| • | сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); |
|
| • | реквизиты банковской карты; |
|
|
|
5.1.4. Потенциальные клиенты, клиенты. |
В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с обращением потенциальных клиентов, клиентов с целью получения информации о продуктах, сервисах, услугах и маркетинговые коммуникации, в том числе и содержащейся на веб-сайте оператора, либо с целью получения информации по действующим услугам: |
|
| • | дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт); |
|
|
| • | информация связанная с действиями на веб сайте оператора: идентификационный адрес, информация из куки; геолокация пользователя; язык браузера; внешний источник перехода на сайт; сведения об устройстве пользователя |
|
| • | ПО такого устройства, браузер и его настройки; системных данных устройства, включая модель и производителя устройства, операционная система, размер экрана пользователя, Интернет-провайдер пользователя; сведения о сессии как посетителя этого сервиса (в том числе, о дате, времени сессии, количестве просмотров веб-страниц, ресурсов сайта), сведения о веб-странице посещаемого сайта, ресурсе на такой странице, при его посещении (ознакомлении с ним) со стороны пользователя. |
|
6. Принципы обработки персональных данных |
6.1. Обработка персональных данных осуществляется на основе принципов: |
законности целей и способов обработки персональных данных;
добросовестности Общества, как Оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
достижения конкретных, заранее определенных целей обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целями обработки;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям обработки персональных данных;
обеспечения при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. |
6.2. Работники Общества, допущенные к обработке персональных данных обязаны: |
знать и неукоснительно выполнять положения законодательства Российской Федерации в области персональных данных, локальных актов Общества и настоящей Политики;
обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
не разглашать персональные данные, обрабатываемые в Обществе;
сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в Обществе. |
6.3. Безопасность персональных данных в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз. |
7. Порядок и условия обработки персональных данных |
7.1. Общество до начала обработки персональных данных осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Общество добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении. |
7.2. Перечень возможных действий, которые может совершать оператор с персональными данными: |
|
|
|
|
|
| • | уточнение (обновление, изменение); |
|
|
| • | передача (распространение, предоставление, доступ); |
|
|
|
7.3. Обработка персональных данных в Обществе осуществляется как с использованием автоматизированных средств, так и без применения средств автоматизации. |
7.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством РФ. |
7.5. Оператор в рамках своей деятельности может осуществлять распространение персональных данных субъекта при наличии соответствующего согласия субъекта персональных данных, полученного в строгом соответствии с требованиями статьи 10.1 федерального закона 152-ФЗ. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий. Субъект персональных данных самостоятельно может определить категории и перечень персональных данных, разрешенных для распространения. |
7.6. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия представителя проверяются оператором. |
7.7. Специальные категории персональных данных касающихся расовой, национальной принадлежности, политических взглядов, и пр., Общество не собирает и не обрабатывает. |
7.8. В Обществе определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Общества, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции работников Общества, включаются обязанности по обеспечению конфиденциальности и безопасности персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных Работники Общества, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, знакомятся с положениями законодательства РФ о персональных данных, а также с требованиями внутренних нормативных документов Общества, регламентирующих вопросы обработки и защиты персональных данных. |
7.9. Субъект персональных данных может отозвать согласия на обработку его персональных данных, в этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва. |
7.10. При обращении субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных законодательством. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Отзыв субъектом персональных данных согласия на обработку персональных данных не лишает Общество права обрабатывать персональные данные субъекта персональных данных в целях, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации. |
7.11. Общество вправе осуществлять передачу (предоставление, доступ) персональных данных третьим лицам с согласия Субъекта персональных данных на обработку персональных данных или при наличии иных оснований, предусмотренных Законодательством РФ. |
7.12. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных в соответствии с действующим законодательством. |
7.13. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных), получают доступ к персональным данным, обрабатываемым в Обществе, в объеме и порядке, установленном законодательством Российской Федерации. |
7.14. В целях подтверждения достоверности сведений, указанных субъектом персональных данных в процессе оформления заявки на предоставление займа, а также получения информации, необходимой для принятия решения о выдаче ему займа, Общество вправе направлять запросы в бюро кредитных историй только с обязательного согласия субъекта Персональных данных. Общество вправе самостоятельно выбрать конкретное бюро кредитных историй для направления соответствующих запросов. |
7.15. В соответствии с Федеральным законом от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма» персональные данные субъекта, полученные в результате идентификации, должны храниться не менее 5 (пяти) лет со дня прекращения отношений с субъектом персональных данных. |
7.16. При использовании Субъектом персональных данных функционала программного обеспечения Оператора может применяться технология куков. Субъект персональных данных вправе ограничить или запретить использование технологии куков путем применения соответствующих настроек в браузере. |
8. Права и обязанности субъектов персональных данных |
8.1. Права и обязанности субъекта персональных данных: |
8.1.1. Субъект персональных данных, если его право не ограничено в соответствии с федеральными законами, вправе в любой момент получить информацию, касающуюся обработки его персональных данных, в том числе содержащей: |
| • | подтверждение факта обработки персональных данных Обществом; |
|
| • | правовые основания и цели обработки персональных данных; |
|
| • | цели и применяемые обществом способы обработки персональных данных; |
|
| • | наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональных данных или которым могут быть раскрыты персональных данных на основании договора с Обществом или на основании федерального закона; |
|
| • | обрабатываемые персональных данных, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; |
|
| • | сроки обработки персональных данных, в том числе сроки их хранения; |
|
| • | порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; |
|
| • | информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных; |
|
| • | наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу; |
|
| • | информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»; |
|
| • | иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. |
|
8.1.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. |
8.1.3. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Обществом организован прием и обработка обращений, запросов субъектов персональных данных или их представителей и осуществляется контроль за приемом и обработкой таких обращений и запросов. Запросы субъекта персональных данных о предоставлении сведений об обрабатываемых Обществом персональных данных, а также запросы о блокировке, изменении, уточнении или удалении персональных данных Общества принимаются к рассмотрению Обществом только в случае личной подачи субъекта персональных данных или его представителем на основании нотариально заверенной доверенности соответствующего письменного заявления, позволяющего идентифицировать личность. |
8.1.4. Запрос субъекта персональных данных или его представителя подается в письменной форме одним из следующих способов: |
| • | по почте в адрес Оператора: 115487, г. Москва, ул. Нагатинская, д. 16, офис 3-7; |
|
| • | по электронной почте: info@energokonsalt.tech. |
|
8.1.5. Общество рассматривает запросы субъекта персональных данных и направляет ответы на них не позднее 10 (десяти) дней с момента поступления обращения, в адрес Общества. Запросы субъекта персональных данных об изменении неполных, неточных или неактуальных персональных данных, а также запросы об удалении данных, которые были незаконно получены Обществом или не соответствуют заявленным целям обработки, подлежат рассмотрению в течение 7 (семи) рабочих дней. |
8.1.6. Ответ Общества на запрос субъекта персональных данных или его представителю по доверенности в форме, подписанный уполномоченным лицом Общества, заверенной подписью работника Общества и печатью Общества направляется по месту регистрации субъекта персональных данных. Срок хранения распечатанных в Обществе, т. е. заверенных работником копий ответов на обращение (запросы) - 1 (один) год с даты окончания срока, установленного для подготовки ответа. |
9. Обеспечение безопасности персональных данных |
9.1. В целях обеспечения защиты персональных данных, в Обществе реализованы следующие организационные и технические меры безопасности: |
9.1.1. назначено лицо, ответственное за организацию обработки персональных данных; |
9.1.2. назначено лицо, ответственное за обеспечение безопасности персональных данных; |
9.1.3. определена политика в отношении обработки персональных данных; |
9.1.4. разработаны и утверждены внутренние организационные документы по вопросам обработки персональных данных; |
9.1.5. осуществляется внутренний контроль и аудит соответствия обработки персональных данных; |
9.1.6. проведена оценка вреда, который может быть причинен субъектам персональных данных; 9.1.7. организовано ознакомление работников, осуществляющих обработку персональных данных, с законодательными и внутренними организационными документами по вопросам обработки и защиты; |
9.1.8. определены угрозы обеспечения безопасности персональных данных; |
9.1.9. применяются средства защиты персональных данных, включая антивирусное программное обеспечение, устройства межсетевого экранирования, сигнализации, видеонаблюдение, системы контроля доступа, сейфы, шкафы, запирающиеся на ключ и иные технические средства защиты; 9.1.10. ведется учет лиц, допущенных к работе с персональных данных; |
9.1.11. внедрена система разграничения и контроля доступа к информационным ресурсам и базам данных, содержащим персональных данных; |
9.1.12. осуществляется авторизация и аутентификация пользователей; |
9.1.13. реализован учет машинных носителей информации, содержащих персональных данных; 9.1.14. используются средства резервного копирования восстановления информационных ресурсов, содержащих персональных данных; |
9.1.15. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества. |
