Политика в отношении обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ООО «ГРУППА КОМПАНИЙ ДА»

Санкт-Петербург

2024

Содержание

1.Общие положения        3

2.Основные термины и определения        4

3.Правовые основания обработки персональных данных в Обществе        5

4.Принципы и цели обработки персональных данных        5

5.Сведения об обрабатываемых персональных данных в Обществе        7

6.Функции Общества при осуществлении обработки
персональных данных        8

7.Условия обработки персональных данных в Обществе        9

8.Перечень действий с персональными данными и способы
их обработки        10

9.Права субъектов персональных данных        10

10.Права и обязанности Общества при обработке персональных данных        11

11.Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных        13

12.Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества
в области персональных данных, в том числе требований к защите персональных данных        14

1. Общие положения

1. Политика обработки персональных данных в ООО «Группа компаний ДА» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Группа компаний ДА» (далее – Общество) персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
2. Политика разработана в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
3. Положения Политики служат основой для разработки локальных нормативных актов Общества, регламентирующих вопросы обработки персональных данных работников Общества и других субъектов персональных данных.
4. В целях реализации положений Политики в Обществе разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

• Положение об обработке персональных данных в ООО «Группа компаний ДА»;
• Перечень должностей структурных подразделений ООО «Группа компаний ДА», замещении которых предусматривает осуществление обработки персональных данных;
• Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных          ООО «Группа компаний ДА»;
• Иные локальные нормативные акты и документы, регламентирующие в Обществе вопросы обработки персональных данных.

2. Основные термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – Общество с ограниченной ответственностью «Группа компаний ДА».

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъекту персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренным Федеральным законом ФЗ-152 «О персональных данных».

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Правовые основания обработки персональных данных в Обществе

1. Основанием для обработки персональных данных в ООО «Группа компаний ДА» являются:

1. Федеральные законы и иные законодательные акты, регулирующие отношения, связанные с деятельность Общества, в том числе:

• Трудовым кодексом Российской Федерации;
• Гражданский кодек Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в РФ»;
• Иные законодательные и нормативные правовые акты Российской Федерации.

1. Договоры, заключаемые между оператором и субъектом персональных данных.
2. Согласие субъекта персональных данных (в случаях, предусмотренных действующем законодательством, письменное согласие).

4. Принципы и цели обработки персональных данных

1. Принципы обработки персональных данных

1. Общество являясь оператором персональных данных, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях.
2. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• Законности и справедливости обработки персональных данных;
• Ограниченности достижения заранее определенных и законных целей при сборе персональных данных;
• Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• Обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
• Обеспечения принятия необходимых мер по удалению или уточнению неполных или неточных данных;
• Осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
• Уничтожения либо обезличивания персональных данных по достижению целей обработки или в случае утраты необходимости в достижении этих целей.

2. Цели обработки персональных данных

Персональные данные обрабатываются в Обществе в целях:

• Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
• Осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе
  по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
• Регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• Предоставления работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, медицинского обслуживания и других видов социального обеспечения;
• Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• Подготовки, заключения, исполнения и прекращения договоров
  с контрагентами;
• Оказания услуг клиентам Общества по покупке железнодорожных и авиа-билетов;
•  Оказания услуг клиентам Общества по бронированию гостиничных номеров;
• Информационно-справочного сопровождения для внутреннего информационного обеспечения деятельности Общества;
• Организации служебных командировок;
• Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• Разграничения прав доступа к информационным системам, сервисам и прикладному программному обеспечению;
• Осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
• В иных законных целях.

5. Сведения об обрабатываемых персональных данных в Обществе

1. В Обществе обрабатываются персональные данные следующих категорий субъектов:

• Работники Общества, а также лица, трудовые отношения с которыми были прекращены;
• Родственники работников Общества;
• Кандидаты на замещение вакантных должностей Общества;
• Представители контрагентов;
• Работники аффилированных организаций;
• Исполнители по договору гражданско-правового характера;
• Клиенты Общества;
• Посетители сайта Общества;
• Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе «Принципы и цели обработки персональных данных» Политики обработки персональных данных ООО «Группа компаний ДА»).

1. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 4.2 Политики.
2. В Обществе осуществляется обработка специальной категории персональных данных, касающихся состояния здоровья в рамках обработки электронных больничных листков.
3. Обработка биометрических персональных данных в Обществе не осуществляется.
4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Обществе на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

6. Функции Общества при осуществлении обработки
   персональных данных

1. Общество при осуществлении обработки персональных данных:

• Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных;
• Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий  в отношении персональных данных;
• Назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
• Назначает лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных;
• Издаёт локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
• Осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
• Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
• Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
• Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
• Блокирует персональные данные на период внутренней проверки в случае выявления:

• Неправомерной обработки персональных данных;
• Неточных персональных данных;
• Отсутствия возможности уничтожения персональных данных в течение срока, указанного в законодательстве Российской Федерации в области персональных данных или в локальных нормативных актах Общества.

• Совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

7. Условия обработки персональных данных в Обществе

1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать:

• Перечень персональных данных;
• Перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
• Цели обработки персональных данных;
• Обязанность лица, осуществляющего обработку персональных данных, соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
• Требования к защите обрабатываемых персональных данных в соответствии со ст.19 ФЗ-152 «О персональных данных».

1. В целях внутреннего информационного обеспечения Общество может создавать справочники, адресные книги и другие источники, в которые
   с письменного согласия субъекта персональных данных, если иное
   не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.
2. Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающим должности, включённые в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных.

8. Перечень действий с персональными данными и способы
   их обработки

1. Общество осуществляет любые действия в отношении персональных данных, которые необходимы для достижения целей обработки, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. В Обществе используется смешанная обработка персональных данных, автоматизированная и неавтоматизированная обработка персональных данных.

9. Права субъектов персональных данных

1. Субъект персональных данных Общества имеет право:

1. На получение полной информации, касающейся обработки его персональных данных, в том числе содержащей:

• Подтверждение факта обработки персональных данных оператором;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые оператором способы обработки персональных данных;
• Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• Иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

        Данные сведения предоставляются субъекту персональных данных или его представителю в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.

2. Требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленных Обществом целей обработки;
3. Принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;
4. Отозвать согласия на обработку персональных данных с последующим уничтожением персональных данных, правовым основанием обработки которых являлось согласие на обработку персональных данных;
5. Подавать жалобы надзорным органам в случае нарушения требований применимого законодательства в области обработки и обеспечения безопасности персональных данных.

2. Общество в обязательном порядке рассматривает все запросы субъектов персональных данных, в том числе если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации.
3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации, Общество обязано прекратить их обработку или обеспечить прекращение такой обработки, если персональные данные обрабатываются третьими лицами по договору с Обществом.
4. В случае, если сохранение персональных данных субъекта более не требуется для целей обработки персональных данных, Общество обязано уничтожить персональные данные субъекта или обеспечить их уничтожение, если персональные данные обрабатываются третьими лицами по договору с Обществом в порядке, установленном законодательством Российской Федерации.

10. Права и обязанности Общества при обработке персональных данных

1. Общество вправе:

• Определять цели, основания и перечень обрабатываемых персональных данных;
• Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора;
• Осуществлять контроль за законностью обработки персональных данных для исключения рисков, связанных с привлечением к административной ответственности за нарушение порядка обработки персональных данных.

1. Общество обязано:

• При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• Обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• Принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
• Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
• Немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, если нет законных оснований для продолжения обработки персональных данных без согласия субъекта;
• Разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
• При сборе персональных данных обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
• Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• Предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
• Прекратить обработку персональных данных или обеспечить ее прекращение в случае достижения цели обработки персональных данных;
• В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных;
• Выполнять иные обязанности, предусмотренные федеральными законами и иными нормативно-правовыми актами, регулирующими обработку и защиту персональных данных.

11. Меры, принимаемые Обществом для обеспечения выполнения обязанностей оператора при обработке персональных данных

1. Меры, необходимые и достаточные для обеспечения выполнения
   Обществом обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

• Назначение лица, ответственного за организацию обработки персональных данных в Обществе;
• Назначение лица, ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных;
• Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• Организацию обучения и проведение методической работы с работниками структурных подразделений Общества, занимающими должности, включённые в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных;
• Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152 «О персональных данных»;
• Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путём их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
• Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях
  и которые содержат разные категории персональных данных;
• Обеспечение безопасности персональных данных при их передаче
  по открытым каналам связи;
• Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Общества»;
• Иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

1. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества.

12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Общества
    в области персональных данных, в том числе требований к защите персональных данных

1. Контроль за соблюдением структурными подразделениями Общества, законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Общества законодательству Российской Федерации и локальным нормативным актам Общества в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
2. Внутренний контроль за соблюдением структурными подразделениями Общества законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Обществе.
3. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных в структурных подразделениях Общества, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Общества, возлагается на их руководителей.