Политика в отношении обработки персональных данных

1. Общие положения

1.1. Политика ООО «Социомониторинг Сервис» (далее – Оператор) в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:

1.2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных в ООО «Социомониторинг Сервис» включает в себя:
- сбор – принятие персональных данных непосредственно от субъекта персональных данных или его представителя;
- запись – ввод персональных данных в информационную систему персональных данных или фиксация персональных данных на материальном носителе;
- накопление – формирование исходного, несистематизированного массива персональных данных;
- систематизацию – расположение персональных данных в определенной последовательности;
- хранение – процесс передачи персональных данных во времени, связанный с обеспечением неизменности состояний материального носителя персональных данных;
- уточнение – обновление или изменение персональных данных;
- обновление – приведение записанных персональных данных в соответствие с состоянием отображаемых объектов предметной области;
- изменение – модификация значений персональных данных;
- извлечение – построение структурированных персональных данных из неструктурированных или слабоструктурированных машиночитаемых документов;
- использование – действия с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или иных лиц, либо другим образом затрагивающих права и свободы субъекта персональных данных или иных лиц;
- передачу – распространение, предоставление, доступ в отношении персональных данных;
- распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление – раскрытие персональных данных определенному лицу или определенному кругу лиц;
- доступ – раскрытие персональных данных определенному лицу или определенному кругу лиц без предоставления таким лицам возможности дальнейшей обработки раскрытых персональных данных
- блокирование – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- удаление – изъятие персональных данных из  информационной системы персональных данных с сохранением последующей возможности их восстановления;
- уничтожение – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 1.2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

1.2.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.2.5. Оператор персональных данных – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.2.6. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.2.7. Утечка данных – подтвержденный факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

1.3. Оператор, получивший доступ к персональным данным, обязуется соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального законодательства;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законодательством;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов.

1.7. Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

1.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор  обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Трансграничная передача данных не ведется.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. К целям обработки персональных данных оператора относятся:
- установление связи с пользователями сайта ООО «Социомониторинг Сервис»;
- заключение, исполнение и прекращение гражданско-правовых договоров;
- заключение, исполнение и прекращение трудовых договоров;
- организация кадрового учета организации, ведение кадрового делопроизводства;
- ведение бухгалтерского учета, исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных являются:
- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных:  Конституция Российской Федерации;  Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Гражданский кодекс Российской Федерации;
- уставные документы оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных.

3.2. Обработка персональных данных допускается в следующих случаях: - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

4. Категории субъектов персональных данных, содержание, объем и категории обрабатываемых персональных данных

4.1. К категориям субъектов персональных данных относятся:

4.1.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников.
В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
- адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
- номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
- занимаемая должность;
- сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
- идентификационный номер налогоплательщика;
- данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- данные паспорта или иного удостоверяющего личность документа;
- данные трудовой книжки, вкладыша в трудовую книжку;
- сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках);
- сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
- сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
- сведения о владении иностранными языками (иностранный язык, уровень владения);
- сведения о семейном положении (состояние в браке (холост (не замужем), женат (замужем), повторно женат (замужем), разведен(а), вдовец (вдова), состав семьи, реквизиты свидетельства о заключении брака);
- сведения о близких родственниках (степень родства, фамилия, имя, отчество, дата (число, месяц, год) и место рождения;
- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
- банковские реквизиты;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

4.1.2. Клиенты, контрагенты, партнеры оператора, пользователи сайта ООО «Социомониторинг Сервис», расположенного на доменном имени https://sociomonitoring.ru; https://sociom.info; https://социом.рус В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных:
- фамилия, имя;
- номера телефонов, адрес электронной почты;

4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.

5. Порядок и условия обработки персональных данных

5.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

5.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".

5.3. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования средств автоматизации (на бумажных носителях).

5.4. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

5.5. При осуществлении хранения персональных данных оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".

5.6. Условием прекращения обработки персональных данных  является:

  • достижение целей обработки персональных данных,
  • истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных,
  • выявление неправомерной обработки персональных данных,
  • ликвидация организации.

5.7. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.8. Работники оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

5.9. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а именно:

  • утверждение перечня документов, содержащих персональные данные;
  • издание внутренних документов по защите персональных данных;
  • ограничение числа работников, которым открыт доступ к персональным данным.
  • ознакомление работников, которым открыт доступ к персональным данным, с действующими нормативами в области защиты персональных данных и локальными актами;
  • размещение документов (материальных (бумажных) носителей), содержащих персональные данные, в помещении офиса, исключающем возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц, для исключения несанкционированного использования защищаемой информации;
  • внедрение программных средств защиты информации на электронных носителях, в том числе установление паролей для доступа уполномоченных сотрудников к персональным данным.

6. Порядок и условия обработки биометрических персональных данных

6.1. Обработка биометрических персональных данных не производится.

6.2. Порядок получения, обработки, хранения и демонстрации материалов фото- и видеоизображений работников ООО «Социомониторинг Сервис», сделанных во время корпоративных мероприятий и не попадающих под действие статьи 11 Федерального закона "О персональных данных", описан в «Положении об обработке персональных данных работников ООО «Социомониторинг Сервис».

7. Исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Оператор сообщает субъекту персональных данных информацию о наличии его персональных данных, а так же предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных либо по его запросу в течение десяти рабочих дней с даты получения запроса субъекта персональных данных.

7.2. В случае предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий семи рабочих дней, вносит в персональные данные субъекта необходимые изменения и уведомляет субъекта персональных данных об этих изменениях.

7.3. Оператор прекращает обработку персональных данных:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором - в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных - в течение тридцати рабочих дней с даты получения отзыва субъекта персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;
- в случае достижения цели обработки персональных данных - в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

7.4. При получении запроса Роскомнадзора оператор направляет в Роскомнадзор запрашиваемую информацию в течение 10 рабочих дней с даты получения запроса.

8. Порядок оповещения при утечке данных

8.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9. Реализация положений Политики

В целях реализации положений Политики ООО «Социомониторинг Сервис» в отношении обработки персональных данных разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе: 

  • «Положение об обработке и защите персональных данных работников ООО «Социомониторинг Сервис»,
  • «Положение об обработке и защите персональных данных лиц, обучающихся по программам дополнительного профессионального образования»,
  • «Политика в отношении обработки персональных данных пользователей сайта».