Политика конфиденциальности

ПОЛИТИКА обработки персональных данных в ООО «СОНЕТ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных в Обществе с ограниченной ответственностью «СОНЕТ» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152) в целях обеспечения и защиты прав и свобод человека при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «СОНЕТ» (далее – Оператор, ООО «СОНЕТ», Работодатель).

1.3. Во исполнение требований ч.2 ст.18.1 Закона о персональных данных настоящая политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.4. Контактные данные Оператора:

Наименование оператора: ООО «СОНЕТ»
Юридический адрес: 603000, Российская Федерация, Нижегородская область, г. Нижний Новгород, ул. Костина, д.3, офис 515
Контактные данные: 8 (800) 550-66-88, https://www.sonet.group

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменения), извлечение, использование, передача (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Передача персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные.

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных.

Контрагент – юридическое лицо; индивидуальный предприниматель; физическое лицо (в том числе являющееся налогоплательщиком налога на профессиональный доход), договоры с которыми заключены или могут быть заключены Оператором.

Представитель Контрагента – физическое лицо, представляющее интересы Контрагента.

Конфиденциальность персональных данных – обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъектов персональных данных или наличия иного законного основания.

Материальный носитель – бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных.

Контролер – это физическое или юридическое лицо, государственный орган, агентство или иной государственный орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.

Обработчик – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. Обработка Оператором персональных данных осуществляется в следующих целях:

  • обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • осуществление Оператором своей деятельности в соответствии с Уставом;
  • заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, в том числе ведение кадрового делопроизводства, начисления заработной платы;
  • оформление банковских карт в рамках зарплатных проектов и перечисление на нее заработной платы;
  • предоставления гарантий и компенсаций работникам с семейными обязанностями;
  • отбор кандидатов на должность;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников, обеспечение сохранности имущества работников и Работодателя, в том числе обеспечение пропускного режима;
  • контроль количества и качества выполняемой работы;
  • соблюдение требований охраны труда и техники безопасности;
  • оформление полиса добровольного медицинского страхования работников, реализация иных социальных программ;
  • организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
  • ведение бухгалтерского учета, учета товарно-материальных ценностей;
  • заключение и регулирование отношений по гражданско-правовым договорам;
  • выполнения договорных обязательств с контрагентами (оформление доверенностей, копий документов, содержащих персональные данные);
  • исполнение сделок, заключенных или подлежащих заключению Оператором с Контрагентами;
  • исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц;
  • предоставления Работодателем установленной законодательством РФ отчетности в отношении физических лиц. В том числе сведений персонифицированного учета, налоговой отчетности, сведений в фонды социального страхования, военные комиссариат.

3.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператором осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

  • физические лица, состоящие с ООО «СОНЕТ» в трудовых отношениях;
  • физические лица, уволившиеся из ООО «СОНЕТ»;
  • физические лица, являющиеся кандидатами на работу в ООО «СОНЕТ»;
  • физические лица, состоящие с ООО «СОНЕТ» в гражданско-правовых отношениях;
  • физические лица, находящиеся в семейных либо родственных отношениях с работниками ООО «СОНЕТ».

4.2. Персональные данные обрабатываемые Оператором:

4.2.1 данные, полученные при осуществлении трудовых отношений:

  • фамилия, имя и отчество;
  • дата и место рождения;
  • серия, номер, место, дата выдачи документа, удостоверяющего личность (паспорта);
  • адрес регистрации;
  • семейное положение;
  • образование;
  • трудовой стаж;
  • предыдущие места работы;
  • данные воинского учета;
  • СНИЛС;
  • ИНН;
  • пол;
  • номер контактного телефона и адрес электронной почты;
  • размер заработной платы;
  • социальные льготы;
  • должность;
  • реквизиты счета для перечисления заработной платы;
  • сведения о состоянии здоровья, если это имеет отношение к выполнению трудовых обязанностей;
  • иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3 настоящего Положения;

4.2.2 данные, полученные для осуществления отбора кандидатов на работу:

  • фамилия, имя и отчество;
  • дата рождения;
  • паспортные данные;
  • сведения о семейном положении;
  • ИНН;
  • СНИЛС;
  • адрес мета жительства;
  • образование, повышение квалификации;
  • трудовой стаж;
  • предыдущие места работы;
  • пол;
  • номер контактного телефона и адрес электронной почты;
  • иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3 настоящего Положения;

4.2.3 данные, полученные при осуществлении гражданско-правовых отношений:

  • фамилия, имя и отчество;
  • дата рождения;
  • вид, серия и номер документа, удостоверяющего личность;
  • пол;
  • гражданство;
  • контактные данные, номер телефона, адрес электронной почты;
  • СНИЛС;
  • наименование должности;
  • контактный телефон и/или адрес электронной почты;
  • ОГРН (для юридических лиц);
  • ИНН налогоплательщика;
  • банковские реквизиты;
  • иные персональные данные, необходимые для осуществления целей, предусмотренных пунктом 3 настоящего Положения;

4.2.4 данные физических лиц, состоящих в семейных либо родственных отношениях с работником:

  • фамилия, имя и отчество;
  • дата рождения;
  • степень родства;
  • иные данные, необходимые для предоставления льгот, гарантий и компенсаций работникам с семейными обязанностями в соответствии с требованиями Трудового Кодекса и иными нормативными актами Российской Федерации.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (Приложение 9).

5.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

5.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.7. Обработка персональных данных осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
  • внесения персональных данных в журналы, реестры и информационные системы оператора;
  • использования иных способов обработки персональных данных.

5.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  • организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

5.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5.13. Принципы обработки персональных данных

Обработка персональных данных в Оператором осуществляется на основе следующих принципов:

  • законности, справедливой основы и прозрачности в отношении субъекта данных;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей (ограничение цели);
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки (принцип минимизации данных);
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных (принцип точности);
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом (принцип ограничения хранения данных);
  • законности целей и способов обработки персональных данных и добросовестности;
  • личной ответственности работников Оператора, а также физических лиц, работающих у Оператора на основании договора гражданско-правового характера, или работников сторонней организации, которым Оператор поручил обработку персональных данных, за сохранность и конфиденциальность персональных данных;
  • наличия разрешительной системы доступа работников Оператора к документам и базам данных, содержащим персональные данные;
  • беспристрастности обработки персональных данных;
  • обеспечения конфиденциальности персональных данных при их передаче, в том числе трансграничной, третьим лицам;
  • обеспечение безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности)

5.14. Правомерность обработки персональных данных

Правомерность обработки персональных данных основывается на следующих требованиях и условиях:

  • субъект данных дал согласие на обработку его персональных данных для одной или нескольких целей;
  • обработка необходима в рамках исполнения договора;
  • обработка необходима в рамках соблюдения соответствующих обязательств Оператора, обработчика и контроллера;
  • обработка необходима для защиты жизненных интересов субъекта персональных данных или иных жизненно важных интересов других лиц, если получение согласия субъекта персональных данных невозможно;
  • в других случаях, указанных в пункте 2 статьи 10 ФЗ-152.

5.15 Условия обработки персональных данных

Персональные данные, обрабатываемые Оператором, не могут быть использованы в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

Персональные данные предоставляются субъектами персональных данных на добровольной основе и могут быть изменены (обновлены, дополнены, уточнены, заблокированы, удалены) по их желанию.

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.16. Перечень действий с персональными данными

Оператор осуществляет следующие действия с персональными данными: сбор, запись, накопление, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление доступа), распространение, обезличивание, блокирование, удаление, уничтожение, любые другие действия, предусмотренные действующим законодательством Российской Федерации, с использованием средств автоматизации или без использования таких средств.

5.17. Внутренние источники персональных данных

В целях информационного обеспечения Оператором могут создаваться внутренние источники персональных данных субъектов, в том числе справочники и адресные книги. Во внутренние источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте должны быть в любое время исключены из внутренних источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

5.18. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных не осуществляется.

5.19. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ.

Биометрические персональные данные, обрабатываемые Оператором на основании согласия субъекта биометрических персональных данных:

  • фото в электронном виде
  • фото на бумажном носителе
  • видеоизображение

5.20. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. (Приложение 8). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

5.21. Передача персональных данных

Оператор вправе передавать персональные данные субъектов третьим лицам, в том числе контрагентам, и иным юридическим лицам, только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Передача персональных данных осуществляется в целях исполнения договоров, соглашений между Оператором и третьими лицами, в которых указывается перечень обрабатываемых данных. Все третьи лица, куда осуществляется передача персональных данных субъектов, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

5.22. Трансграничная передача персональных данных и трансграничная обработка

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных;
  • предусмотренных международными договорами Российской Федерации;
  • предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

5.23 Сроки обработки персональных данных

Персональные данные субъектов, обрабатываемые Оператором подлежат уничтожению либо обезличиванию в случае:

  • достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
  • отзыва согласия субъекта на обработку его персональных данных;
  • получение от субъекта уведомления об удалении его персональных данных;
  • получение от контроллера запроса на удаление персональных данных субъекта;
  • прекращения деятельности Оператора.

5.24. Хранение персональных данных

5.24.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

5.24.2 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограничением права доступа.

5.24.3 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

5.24.4 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДН.

5.24.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.24.6 Все базы данных Оператора территориально распределены и находятся на территории Российской Федерации.

5.25. Уничтожение персональных данных

5.25.1 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законом о персональных данных или иными Федеральными законами;
  • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

5.25.2 Уничтожение бумажных документов (носителей), содержащих персональные данные, производится Оператором путем дробления (измельчения) с применением шредера.

5.25.3 Персональные данные на электронных носителях уничтожаются Оператором путем стирания или форматирования носителя.

5.25.4 Факт уничтожения персональных данных подтверждается документально в соответствии с требованиями законодательства и иных нормативных актов Российской Федерации.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Защита персональных данных является одной из основных задач Оператора. В целях предотвращения несанкционированного доступа, неоговоренной передачи персональных данных третьим лицам или нецелевого использования персональных данных клиентов Оператор постоянно разрабатывает и модернизирует средства осуществления защиты получаемой информации. Регулярно проверяются процессы сбора, хранения и обработки персональных данных, используются специальные защитные механизмы и технологии.

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • определение помещений, где ведется обработка персональных данных, ограничение в них прав доступа;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения носителей информации и обращения с ними;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
  • реализация на основе модели угроз мер по обеспечению безопасности персональных данных;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки персональных данных;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учет всех действий, совершаемых с персональными данными в информационной системе Оператора, в установленном Оператором порядке;
  • использование антивирусных средств;
  • использование средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • применение двухфакторной аутентификации для администрирования средств защиты информации;
  • проверка готовности и эффективности использования средств защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных;
  • обучение работников оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
  • осуществление внутреннего контроля и аудита.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА

7.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (Приложение 4, Приложение 5).

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.

7.2. Права субъекта персональных данных

7.2.1 Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законодательством;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • обращение к Оператору и направление ему запросов;
  • обжалование действий или бездействия оператора.

7.2.2 Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их изменения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, а также иметь возможность выгрузки своих данных в любом предлагаемом формате.

Запрос от субъекта (Приложения 1-3) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос в письменном виде может быть направлен по адресу: 603022, Нижегородская область, г. Нижний Новгород, ул. Окский Съезд, д. 2 либо на адрес электронной почты: it@sonet.group в форме электронного документа, подписанного электронной подписью, в соответствии с законодательством Российской Федерации. По факту получения запроса Оператор осуществляет соответствующие мероприятия и направляет ответ в течение срока, установленного федеральным законодательством.

7.2.3 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152, и иных законодательных актов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.3. Обязанности Оператора

7.3.1 Оператор обязан:

  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • в случае, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта (Приложение 6,7);
  • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ООО «СОНЕТ» в области персональных данных определяется в соответствии с законодательством Российской Федерации.

8.2. Иные права и обязанности ООО «СОНЕТ» как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

8.3. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия ООО «СОНЕТ» новой Политики.

8.4. Все изменения и дополнения к настоящей Политике утверждаются генеральным директором ООО «СОНЕТ».

9. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ К ПОЛИТИКЕ

Приложение 1 Требование об уточнении персональных данных
Приложение 2 Отзыв согласия на обработку персональных данных
Приложение 3 Запрос на предоставление сведений об обработке персональных данных
Приложение 4 Согласие работника на обработку его персональных данных
Приложение 5 Согласие субъекта персональных данных на обработку его персональных данных
Приложение 6 Согласие субъекта на получение его персональных данных у третьей стороны
Приложение 7 Уведомление субъекта о получении его персональных данных у третьей стороны
Приложение 8 Согласие работника на обработку его персональных данных (при поручении обработки третьему лицу)
Приложение 9 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Согласовано
Руководитель отдела персонала: Е.В. Алина
Руководитель юридического отдела: Е.В. Скворцова

ПОЛИТИКА обработки персональных данных в ООО «Сонет НН»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных в Обществе с ограниченной ответственностью «Сонет НН» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152) в целях обеспечения и защиты прав и свобод человека при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Сонет НН» (далее – Оператор, ООО «Сонет НН», Работодатель).

1.3. Во исполнение требований ч.2 ст.18.1 Закона о персональных данных настоящая политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.4. Контактные данные Оператора:

Наименование оператора: ООО «Сонет НН»
Юридический адрес: 603000, Российская Федерация, Нижегородская область, г. Нижний Новгород, ул. Костина, д.3, офис 515
Контактные данные: 8 (800) 550-66-88, https://www.sonet.group

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменения), извлечение, использование, передача (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Передача персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные.

Биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных.

Контрагент – юридическое лицо; индивидуальный предприниматель; физическое лицо (в том числе являющееся налогоплательщиком налога на профессиональный доход), договоры с которыми заключены или могут быть заключены Оператором.

Представитель Контрагента – физическое лицо, представляющее интересы Контрагента.

Конфиденциальность персональных данных – обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъектов персональных данных или наличия иного законного основания.

Материальный носитель – бумажный или машинный носитель, предназначенный для
фиксирования, передачи и хранения персональных данных.

Контролер – это физическое или юридическое лицо, государственный орган, агентство или иной государственный орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.

Обработчик – это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. Обработка Оператором персональных данных осуществляется в следующих целях:

  • обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • осуществление Оператором своей деятельности в соответствии с Уставом;
  • заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, в том числе ведение кадрового делопроизводства, начисления заработной платы;
  • оформление банковских карт в рамках зарплатных проектов и перечисление на нее заработной платы;
  • предоставления гарантий и компенсаций работникам с семейными обязанностями;
  • отбор кандидатов на должность;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников, обеспечение сохранности имущества работников и Работодателя, в том числе обеспечение пропускного режима;
  • контроль количества и качества выполняемой работы;
  • соблюдение требований охраны труда и техники безопасности;
  • оформление полиса добровольного медицинского страхования работников, реализация иных социальных программ;
  • организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
  • ведение бухгалтерского учета, учета товарно-материальных ценностей;
  • заключение и регулирование отношений по гражданско-правовым договорам;
  • выполнения договорных обязательств с контрагентами (оформление доверенностей, копий документов, содержащих персональные данные);
  • исполнение сделок, заключенных или подлежащих заключению Оператором с Контрагентами;
  • исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц;
  • предоставления Работодателем установленной законодательством РФ отчетности в отношении физических лиц. В том числе сведений персонифицированного учета, налоговой отчетности, сведений в фонды социального страхования, военные комиссариат.

3.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператором осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

  • физические лица, состоящие с ООО «Сонет НН» в трудовых отношениях;
  • физические лица, уволившиеся из ООО «Сонет НН»;
  • физические лица, являющиеся кандидатами на работу в ООО «Сонет НН»;
  • физические лица, состоящие с ООО «Сонет НН» в гражданско-правовых отношениях;
  • физические лица, находящиеся в семейных либо родственных отношениях с работниками ООО «Сонет НН».

4.2. Персональные данные обрабатываемые Оператором:

4.2.1 данные, полученные при осуществлении трудовых отношений:

  • фамилия, имя и отчество;
  • дата и место рождения;
  • серия, номер, место, дата выдачи документа, удостоверяющего личность (паспорта);
  • адрес регистрации;
  • семейное положение;
  • образование;
  • трудовой стаж;
  • предыдущие места работы;
  • данные воинского учета;
  • СНИЛС;
  • ИНН;
  • пол;
  • номер контактного телефона и адрес электронной почты;
  • размер заработной платы;
  • социальные льготы;
  • должность;
  • реквизиты счета для перечисления заработной платы;
  • сведения о состоянии здоровья, если это имеет отношение к выполнению трудовых обязанностей;
  • иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3 настоящего Положения;

4.2.2 данные, полученные для осуществления отбора кандидатов на работу:

  • фамилия, имя и отчество;
  • дата рождения;
  • паспортные данные;
  • сведения о семейном положении;
  • ИНН;
  • СНИЛС;
  • адрес мета жительства;
  • образование, повышение квалификации;
  • трудовой стаж;
  • предыдущие места работы;
  • пол;
  • номер контактного телефона и адрес электронной почты;
  • иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3 настоящего Положения;

4.2.3 данные, полученные при осуществлении гражданско-правовых отношений:

  • фамилия, имя и отчество;
  • дата рождения;
  • вид, серия и номер документа, удостоверяющего личность;
  • пол;
  • гражданство;
  • контактные данные, номер телефона, адрес электронной почты;
  • СНИЛС;
  • наименование должности;
  • контактный телефон и/или адрес электронной почты;
  • ОГРН (для юридических лиц);
  • ИНН налогоплательщика;
  • банковские реквизиты;
  • иные персональные данные, необходимые для осуществления целей, предусмотренных пунктом 3 настоящего Положения;

4.2.4 данные физических лиц, состоящих в семейных либо родственных отношениях с работником:

  • фамилия, имя и отчество;
  • дата рождения;
  • степень родства;
  • иные данные, необходимые для предоставления льгот, гарантий и компенсаций работникам с семейными обязанностями в соответствии с требованиями Трудового Кодекса и иными нормативными актами Российской Федерации.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (Приложение 9).

5.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  •  непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

5.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.7. Обработка персональных данных осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
  • внесения персональных данных в журналы, реестры и информационные системы оператора;
  • использования иных способов обработки персональных данных.

5.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  • организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

5.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5.13. Принципы обработки персональных данных

Обработка персональных данных в Оператором осуществляется на основе следующих принципов:

  • законности, справедливой основы и прозрачности в отношении субъекта данных;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей (ограничение цели);
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки (принцип минимизации данных);
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных (принцип точности);
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом (принцип ограничения хранения данных);
  • законности целей и способов обработки персональных данных и добросовестности;
  • личной ответственности работников Оператора, а также физических лиц, работающих у Оператора на основании договора гражданско-правового характера, или работников сторонней организации, которым Оператор поручил обработку персональных данных, за сохранность и конфиденциальность персональных данных;
  • наличия разрешительной системы доступа работников Оператора к документам и базам данных, содержащим персональные данные;
  • беспристрастности обработки персональных данных;
  • обеспечения конфиденциальности персональных данных при их передаче, в том числе трансграничной, третьим лицам;
  • обеспечение безопасности персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (принцип целостности и конфиденциальности).

5.14. Правомерность обработки персональных данных

Правомерность обработки персональных данных основывается на следующих требованиях и условиях:

  • субъект данных дал согласие на обработку его персональных данных для одной или нескольких целей;
  • обработка необходима в рамках исполнения договора;
  • обработка необходима в рамках соблюдения соответствующих обязательств Оператора, обработчика и контроллера;
  • обработка необходима для защиты жизненных интересов субъекта персональных данных или иных жизненно важных интересов других лиц, если получение согласия субъекта персональных данных невозможно;
  • в других случаях, указанных в пункте 2 статьи 10 ФЗ-152.

5.15. Условия обработки персональных данных

Персональные данные, обрабатываемые Оператором, не могут быть использованы в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

Персональные данные предоставляются субъектами персональных данных на добровольной основе и могут быть изменены (обновлены, дополнены, уточнены, заблокированы, удалены) по их желанию.

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.16. Перечень действий с персональными данными

Оператор осуществляет следующие действия с персональными данными: сбор, запись, накопление, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление доступа), распространение, обезличивание, блокирование, удаление, уничтожение, любые другие действия, предусмотренные действующим законодательством Российской Федерации, с использованием средств автоматизации или без использования таких средств.

5.17. Внутренние источники персональных данных

В целях информационного обеспечения Оператором могут создаваться внутренние источники персональных данных субъектов, в том числе справочники и адресные книги. Во внутренние источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте должны быть в любое время исключены из внутренних источников персональных данных по требованию субъекта либо по решению суда или иных уполномоченных государственных органов.

5.18. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных не осуществляется.

5.19. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ.

Биометрические персональные данные, обрабатываемые Оператором на основании согласия субъекта биометрических персональных данных:

  • фото в электронном виде
  • фото на бумажном носителе
  • видеоизображение

5.20. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. (Приложение 8). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

5.21. Передача персональных данных

Оператор вправе передавать персональные данные субъектов третьим лицам, в том числе контрагентам, и иным юридическим лицам, только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Передача персональных данных осуществляется в целях исполнения договоров, соглашений между Оператором и третьими лицами, в которых указывается перечень обрабатываемых данных. Все третьи лица, куда осуществляется передача персональных данных субъектов, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

5.22. Трансграничная передача персональных данных и трансграничная обработка

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных;
  • предусмотренных международными договорами Российской Федерации;
  • предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
  • исполнения договора, стороной которого является субъект персональных данных;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

5.23. Сроки обработки персональных данных

Персональные данные субъектов, обрабатываемые Оператором подлежат уничтожению либо обезличиванию в случае:

  • достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
  • отзыва согласия субъекта на обработку его персональных данных;
  • получение от субъекта уведомления об удалении его персональных данных;
  • получение от контроллера запроса на удаление персональных данных субъекта;
  • прекращения деятельности Оператора.

5.24. Хранение персональных данных

5.24.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

5.24.2 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограничением права доступа.

5.24.3 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

5.24.4 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДН.

5.24.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.24.6 Все базы данных Оператора территориально распределены и находятся на территории Российской Федерации.

5.25. Уничтожение персональных данных

5.25.1 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законом о персональных данных или иными Федеральными законами;
  • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

5.25.2 Уничтожение бумажных документов (носителей), содержащих персональные данные, производится Оператором путем дробления (измельчения) с применением шредера.

5.25.3 Персональные данные на электронных носителях уничтожаются Оператором путем стирания или форматирования носителя.

5.25.4 Факт уничтожения персональных данных подтверждается документально в соответствии с требованиями законодательства и иных нормативных актов Российской Федерации.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Защита персональных данных является одной из основных задач Оператора. В целях предотвращения несанкционированного доступа, неоговоренной передачи персональных данных третьим лицам или нецелевого использования персональных данных клиентов Оператор постоянно разрабатывает и модернизирует средства осуществления защиты получаемой информации. Регулярно проверяются процессы сбора, хранения и обработки персональных данных, используются специальные защитные механизмы и технологии.

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • определение помещений, где ведется обработка персональных данных, ограничение в них прав доступа;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения носителей информации и обращения с ними;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
  • реализация на основе модели угроз мер по обеспечению безопасности персональных данных;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки персональных данных;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учет всех действий, совершаемых с персональными данными в информационной системе Оператора, в установленном Оператором порядке;
  • использование антивирусных средств;
  • использование средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • применение двухфакторной аутентификации для администрирования средств защиты информации;
  • проверка готовности и эффективности использования средств защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных;
  • обучение работников оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
  • осуществление внутреннего контроля и аудита.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА

7.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (Приложение 4, Приложение 5).

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.

7.2. Права субъекта персональных данных

7.2.1 Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законодательством;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • обращение к Оператору и направление ему запросов;
  • обжалование действий или бездействия оператора.

7.2.2 Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их изменения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, а также иметь возможность выгрузки своих данных в любом предлагаемом формате.

Запрос от субъекта (Приложения 1-3) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос в письменном виде может быть направлен по адресу: 603022, Нижегородская область, г. Нижний Новгород, ул. Окский Съезд, д. 2 либо на адрес электронной почты: it@sonet.group в форме электронного документа, подписанного электронной подписью, в соответствии с законодательством Российской Федерации. По факту получения запроса Оператор осуществляет соответствующие мероприятия и направляет ответ в течение срока, установленного федеральным законодательством.

7.2.3 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152, и иных законодательных актов или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.3. Обязанности Оператора

7.3.1 Оператор обязан:

  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • в случае, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта (Приложение 6,7);
  • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ООО «Сонет НН» в области персональных данных определяется в соответствии с законодательством Российской Федерации.

8.2. Иные права и обязанности ООО «Сонет НН» как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.

8.3. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия ООО «Сонет НН» новой Политики.

8.4. Все изменения и дополнения к настоящей Политике утверждаются генеральным директором ООО «Сонет НН».

9. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ К ПОЛИТИКЕ

Приложение 1 Требование об уточнении персональных данных
Приложение 2 Отзыв согласия на обработку персональных данных
Приложение 3 Запрос на предоставление сведений об обработке персональных данных
Приложение 4 Согласие работника на обработку его персональных данных
Приложение 5 Согласие субъекта персональных данных на обработку его персональных данных
Приложение 6 Согласие субъекта на получение его персональных данных у третьей стороны
Приложение 7 Уведомление субъекта о получении его персональных данных у третьей стороны
Приложение 8 Согласие работника на обработку его персональных данных (при поручении обработки третьему лицу)
Приложение 9 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Согласовано
Руководитель отдела персонала: Е.В. Алина
Руководитель отдела информационной безопасности: С.М. Скрябин