Политика обработки персональных данных

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и определяет принципы, цели, порядок и условия обработки персональных данных (далее – ПДн), а также реализуемые меры защиты прав субъектов ПДн в ООО «Интегрон» (далее – Компания).

1.2. Политика распространяет свое действие на всех субъектов ПДн, чьи персональные данные были получены Компанией, включая работников по трудовым договорам и лиц, заключивших иные договоры с Компанией.

1.3. Требования Политики учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки Компанией ПДн, например, в случаях передачи в установленном порядке со стороны Компании ПДн подрядчикам, партнерам и иным контрагентам (далее – Партнеры) на основании поручений на обработку ПДн, иных соглашений и договоров.

1.4. Политика распространяется на ПДн, которые были получены как до, так и после ввода в действие настоящей Политики.

2. Правовые основания обработки ПДн

2.1. Обработка и обеспечение безопасности ПДн в Компании осуществляется на основании: Конституции РФ; Гражданского кодекса РФ; Трудового кодекса РФ; Налогового кодекса РФ; нормативно-правовых актов в сфере пенсионного и воинского учета; других федеральных законов РФ, определяющих случаи и особенности обработки ПДн; нормативно-методических документов государственных органов РФ, уполномоченных в сфере информационной безопасности и защиты прав субъектов ПДн; договоров, заключаемых между Компанией и субъектами ПДн; согласия субъекта на обработку персональных данных; согласия пользователя, предоставляемого путем совершения конклюдентных действий на сайтах Компании.

2.2. Компания исполняет обязанности оператора, в том числе по уведомлению Уполномоченного органа РФ по защите прав субъектов ПДн (далее – Роскомнадзор).

3. Принципы и условия обработки ПДн

3.1. Обработка ПДн осуществляется на основе следующих принципов:

3.1.1. Обработка ПДн осуществляется на законной и справедливой основе;

3.1.2. ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, а также для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

3.1.3. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;

3.1.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

3.1.5. Объем обрабатываемых данных в рамках указанных целей определяется в минимально необходимом составе для каждого конкретного случая;

3.1.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

3.1.7. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

3.2. Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.3. Компания осуществляет обработку ПДн о состоянии здоровья субъекта ПДн без его согласия в случаях, когда это необходимо для:

3.3.1. Выполнения требований трудового законодательства, законодательства о социальном и медицинском страховании, а также о государственной социальной помощи;

3.3.2. Защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта ПДн невозможно;

3.3.3. Выполнения требований законодательства РФ об обороне, о безопасности, о противодействии коррупции.

3.4. Обработка сведений о состоянии здоровья в иных случаях (в том числе при оказании материальной помощи работникам или их родственникам) осуществляется исключительно на основании письменного согласия субъекта персональных данных.

3.5. Обработка ПДн о судимости может осуществляться Компанией исключительно в случаях и в порядке, которые определяются в соответствии с законодательством РФ.

3.6. Обработка ПДн, разрешенных субъектом ПДн для распространения, может осуществляться Компанией только при наличии согласия субъекта ПДн.

3.7. Компания не осуществляет обработку биометрических ПДн.

3.8. В случаях, установленных законодательством РФ, Компания вправе осуществлять передачу ПДн третьим лицам без согласия субъекта ПДн.

3.9. Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам с согласия субъекта ПДн, на основании заключаемого с этими лицами договора.

3.10. Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать требования, предусмотренные Законом № 152-ФЗ.

3.11. В случае если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед субъектом ПДн в случаях, установленных законодательством РФ.

3.12. Компания не осуществляет трансграничную передачу ПДн.

3.13. В целях исполнения требований законодательства РФ и своих договорных обязательств обработка ПДн в Компании осуществляется как с использованием, так и без использования средств автоматизации с передачей по внутренней сети Компании, с передачей по сети Интернет. Совокупность операций обработки включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ) Партнерам Компании.

3.14. В Компании запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

3.15. При сборе ПДн запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн осуществляется с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом № 152-ФЗ.

4. Цели обработки ПДн

4.1. С целью соблюдения трудового, налогового, пенсионного законодательства, законодательства об обязательном социальном и медицинском страховании, а также ведение кадрового делопроизводства, бухгалтерского учета и воинского учета обрабатываются следующие категории ПДн работников: фамилия, имя, отчество, сведения о предыдущих фамилиях, пол, дата рождения, место рождения, паспортные данные, гражданство, номер телефона, адрес электронной почты, СНИЛС, номер расчетного счета, номер банковской карты, ИНН, адрес регистрации, адрес места жительства, сведения о семейном положении, сведения об иждивенцах, сведения об образовании, сведения о трудовой деятельности, должность, профессия, табельный номер, сведения о социальных льготах, сведения об инвалидности, дата и время несчастного случая, номер электронного листка нетрудоспособности, период нетрудоспособности, код причины нетрудоспособности, сведения о наличии состояния алкогольного опьянения, реквизиты свидетельства о рождении детей, сведения о заработной плате, сведения о налогах и взносах (на обязательное пенсионное страхование, на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством, на обязательное медицинское страхование, на обязательное социальное страхование от несчастных случаев), сведения о военном билете и воинской обязанности (воинское звание, военно-учетная специальность, категория годности к военной службе по состоянию здоровья, состав (профиль), наименование военного комиссариата, сведения о наличии мобилизационного предписания и отметки о вручении персональных повесток, сведения о зачислении в запас).

4.2. С целью подбора и поиска персонала (соискателей) обрабатываются следующие категории ПДн соискателей: фамилия, имя, отчество, пол, дата рождения, место рождения, гражданство, номер телефона, адрес электронной почты, сведения об образовании, сведения о трудовой деятельности, должность, профессия, фотография, иные сведения, предоставленные соискателем в резюме.

4.3. С целью подготовки, заключения и исполнения гражданско-правового договора обрабатываются следующие категории ПДн контрагентов и их представителей: фамилия, имя, отчество, пол, дата рождения, место рождения, паспортные данные, гражданство, номер телефона, адрес электронной почты, СНИЛС, номер расчетного счета, номер банковской карты, ИНН, адрес регистрации, адрес места жительства, ОГРНИП, должность, данные доверенности, сведения о трудовой деятельности, номер электронного листка нетрудоспособности, период нетрудоспособности, код причины нетрудоспособности, сведения о доходе, сведения о налогах и взносах (на обязательное пенсионное страхование, на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством, на обязательное медицинское страхование, на обязательное социальное страхование от несчастных случаев).

4.4. С целью обеспечения функционирования и безопасности сайтов Компании, в том числе улучшения их качества и улучшения условий их использования, сбора статистических данных обрабатываются следующие категории ПДн пользователей сайтов Компании: файлы cookie, IP-адрес, местоположение пользователя, тип и версия операционной системы, тип и версия браузера, технические характеристики устройства, действия пользователя на сайтах, дата и время совершения действий на сайтах, источники перехода на сайты (сторонние сайты), язык операционной системы и браузера.

4.5. С целью предоставления доступа к функционалу личного кабинета на сайтах Компании, идентификации и аутентификации пользователя, обеспечения информационного взаимодействия с пользователем в рамках использования сервисов сайтов Компании обрабатываются следующие категории ПДн пользователей сайтов Компании: логин (адрес электронной почты), пароль.

4.6. С целью оказания агентских (субагентских) и консультационных услуг по подбору и продвижению финансовых продуктов для нужд индивидуальных предпринимателей и юридических лиц, обеспечение передачи сведений их представителей Партнерам Компании для заключения договоров обрабатываются следующие категории ПДн клиентов и их представителей: фамилия, имя, отчество, пол, дата рождения, место рождения, паспортные данные, гражданство, номер телефона, адрес электронной почты, ИНН, ОГРНИП, адрес регистрации, адрес места жительства, должность, данные доверенности.

5. Способы обработки ПДн

5.1. Обработка ПДн может осуществляться как с использованием, так и без использования средств автоматизации.

5.2. Компания вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки ПДн только при наличии согласия в письменной форме (в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ) субъекта ПДн или в случаях, предусмотренных законодательством РФ.

5.3. Обработка ПДн в целях продвижения продуктов и услуг путем осуществления прямых контактов с потенциальным агентами и клиентами с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.

6. Права и обязанности субъектов ПДн

6.1. Субъект ПДн имеет право:

6.1.1. Получать информацию, касающуюся обработки его ПДн, в порядке, форме и в сроки, установленные законодательством РФ;

6.1.2. Требовать уточнения своих ПДн, их блокирования или уничтожения, в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектов ПДн согласия на обработку ПДн;

6.1.3. Требовать прекращения обработки своих ПДн;

6.1.4. Отозвать свое согласие на обработку ПДн.

6.2. Для получения информации, касающейся обработки ПДн, субъект ПДн, или его представитель, должен обратиться в Компанию с заявлением в письменной форме (в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ).

6.3. Компания обязуется предоставить субъекту ПДн по его запросу, сведения, предусмотренные законодательством РФ.

6.4. Субъект ПДн вправе обратиться в Компанию с заявлением об отзыве ранее данного согласия на обработку его ПДн. Также субъект ПДн вправе обратиться в Компанию с требованием о прекращении обработки ПДн. Компанию оставляет за собой право продолжить обработку ПДн без согласия субъекта ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.

6.5. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять Компании информацию об изменении своих ПДн.

7. Сроки обработки и хранения ПДн

7.1. Обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели их обработки, если иные сроки не установлены законодательством РФ или договором, стороной которого является субъект ПДн.

7.2. Сроки обработки (хранения) ПДн:

7.2.1. Для кадрового учета и соблюдения трудового законодательства, пенсионного, социального и медицинского страхования: в течение срока действия договора и 50 лет после его расторжения;

7.2.2. Для бухгалтерского и налогового учета: в течение 6 лет после окончания отчетного года;

7.2.3. Для воинского учета: в течение срока трудоустройства и 5 лет после снятия с воинского учета в организации;

7.2.4. Для соискателей на вакантные должности: до принятия решения о приеме или отказе в приеме на работу, но не более 30 дней после принятия решения;

7.2.5. Для исполнения гражданско-правовых договоров с контрагентами: в течение срока действия договора и 5 лет после его прекращения (включая сроки исковой давности);

7.2.6. Для обеспечения функционирования и безопасности сайтов, сбора статистических данных: в течение срока, необходимого для достижения целей анализа и защиты ресурсов, но не более 25 месяцев с момента сбора, либо до момента удаления данных (файлов cookie) пользователем в настройках браузера;

7.2.7. Для работы личного кабинета и сервисов сайта: до момента удаления учетной записи пользователем;

7.2.8. Для оказания агентских (субагентских) и консультационных услуг: в течение срока, необходимого для передачи данных Партнерам Компании и получения подтверждения о заключении или отказе в заключении договора, но не более 1 года с момента обращения (если иное не установлено согласием субъекта).

7.3. ПДн, срок обработки (хранения) которых истек, уничтожаются, если иное не предусмотрено Законом № 152-ФЗ или нормативными документами Компании. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.

8. Порядок актуализации, исправления, удаления и уничтожения ПДн. Порядок рассмотрения запросов субъектов ПДн.

8.1. В случаях, предусмотренных статьей 14 Закона № 152-ФЗ, Компания сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя в течение 10 (Десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней при условии направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.2. Компания на безвозмездной основе предоставляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания вносит в них необходимые изменения. В срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания уничтожает такие ПДн. При этом Компания обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

8.3. В случае выявления неправомерной обработки ПДн при обращении/запросе субъекта ПДн, его представителя либо Роскомнадзора Компания обязуется с момента обращения/запроса на период проверки осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании). В случае выявления неточных ПДн при обращении/запросе субъекта ПДн, его представителя либо Роскомнадзора Компания обязуется осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения/запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн, Компания на основании сведений, представленных субъектом ПДн, его представителем либо Роскомнадзором, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

8.4. Компания прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:

8.4.1. В случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по ее поручению, в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления;

8.4.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн Компанией, при отсутствии иных правовых оснований обработки ПДн;

8.4.3. В случае получения требования субъекта ПДн о прекращении обработки его ПДн и при отсутствии иных правовых оснований обработки ПДн, в срок не превышающий 10 (Десяти) рабочих дней с даты получения Компанией такого требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока прекращения обработки ПДн;

8.4.4. В случае достижения цели обработки ПДн, при отсутствии иных правовых оснований обработки ПДн.

8.5. Компания обязана уничтожить ПДн или обеспечить их уничтожение, если обработка ПДн осуществляется другим лицом, действующим по поручению Компании:

8.5.1. В случае отзыва субъектом ПДн согласия на обработку его ПДн в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, законодательством РФ, и при отсутствии иных правовых оснований обработки ПДн;

8.5.2. В случае достижения цели обработки ПДн, в срок, не превышающий 30 (Тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, законодательством РФ и при отсутствии иных правовых оснований обработки ПДн;

8.5.3. В случае представления субъектом ПДн, его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;

8.5.4. В случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.

8.6. В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению Компании, и обеспечивает уничтожение ПДн в срок не более чем 6 (Шесть) месяцев, если иной срок не установлен законодательством РФ.

9. Обеспечение безопасности ПДн

9.1. Компания при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного и (или) несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

9.2. К таким мерам в соответствии с Законом № 152-ФЗ, в частности, относятся:

9.2.1. Назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн;

9.2.2. Ограничение состава лиц, имеющих доступ к ПДн;

9.2.3. Разработка и утверждение локальных нормативных актов по вопросам обработки и защиты ПДн;

9.2.4. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн: определение угроз безопасности ПДн при их обработке в информационных системах ПДн (далее – ИСПДн); применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн; применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях; обнаружение фактов несанкционированного доступа к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем; восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

9.2.5. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;

9.2.6. Хранение паролей пользователей в зашифрованном виде с использованием алгоритмов хеширования, исключающих возможность восстановления пароля в открытом виде, в том числе сотрудниками Компании;

9.2.7. Оценка вреда в соответствии с требованиями, установленными Роскомнадзором, который может быть причинен субъектам ПДн в случае нарушения требований Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ;

9.2.8. Соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;

9.2.9. Ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными нормативными актами по вопросам обработки и защиты ПДн, и обучение работников Компании.

10. Особенности обработки файлов cookie

10.1. Посещая сайты Компании, пользователь соглашается с настоящей Политикой, в том числе с тем, что Компания может использовать файлы cookie и иные данные для их последующей обработки метрическими программами, а также может передавать их третьим лицам для проведения исследований, выполнения работ или оказания услуг. Согласие действует с момента первого посещения сайтов Компании до достижения целей обработки данных.

10.2. В случае отказа от обработки файлов cookie пользователю необходимо прекратить пользование сайтами Компании или отключить сохранение файлов cookie в настройках браузера.

10.3. Для управления файлами cookie с помощью используемых браузера или устройства необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства.

10.4. Компания не несет ответственность за контент, способы сбора и обработки информации сторонними сайтами, включая сайты, ссылки на которые могут быть опубликованы на сайтах Компании.

11. Ответственность и обязанности

11.1. В случае неисполнения положений Политики Компания и ее работники несут ответственность в соответствии с законодательством РФ.

11.2. Контроль исполнения требований Политики осуществляется ответственным за обработку ПДн в Компании.

12. Заключительные положения

12.1. Политика является локальным нормативным актом Компании. Политика является общедоступной. Общедоступность Политики обеспечивается публикацией по адресу в сети Интернет https://integron.pro/privacy-police.

12.2. Субъекты ПДн, чьи ПДн обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по адресу: 109428, г Москва, Рязанский пр-кт, д 10 стр 18, пом 10/8, или в электронной форме: info@integron.pro