Политика обработки и защиты персональных данных
1. Общие положения
1.1. Общество с ограниченной ответственностью «Гибрид» (далее – Оператор) придерживается принципов законности, справедливости и конфиденциальности в процессе работы с персональными данными (далее – «Данные»), и стремится обеспечивать безопасность их обработки.
1.2. Данная Политика по работе с Данными (далее – Политика):
1.2.1. разработана для соблюдения требований действующего законодательства РФ в области Данных;
1.2.2. раскрывает методы и принципы обработки Данных Оператором, а также его права и обязанности в этом процессе, права субъектов Данных и набор мер, используемых Оператором для обеспечения их безопасности;
1.2.3. декларирует основные подходы Оператора в области работы и защиты Данных;
1.3. В рамках данной Политики применяются следующие понятия, сокращения и аббревиатуры:
1.3.1. Автоматизированная обработка Данных — Работа с Данными при помощи вычислительной техники.
1.3.2. Безопасность Данных — Защита Данных от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
1.3.3. Биометрические Данные — Информация, которая отражает физиологические и биологические особенности человека и позволяет установить его личность, используемая оператором для идентификации личности субъекта Данных.
1.3.4. Блокирование Данных — Приостановление обработки Данных, за исключением ситуаций, когда обработка необходима для уточнения информации.
1.3.5. ИСПД — Информационная система Данных, представляющая собой набор данных в базах и технологии, которые их обрабатывают.
1.3.6. Компьютерный инцидент — Любое событие, реальное или предполагаемое, связанное с безопасностью информационной или телекоммуникационной системы.
1.3.7. Материальный носитель Данных — Объект, предназначенный для хранения и передачи речевой, звуковой или изобразительной информации (Данные), в том числе в преобразованном формате.
1.3.8. Неавтоматизированная обработка Данных — Обработка информации без применения вычислительных средств.
1.3.9. Обработка Данных — Любые действия с Данными, включая их сбор, запись, систематизацию, накопление, хранение, обновление, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение, как с помощью автоматизированных средств, так и без них.
1.3.10. Обработка Данных без использования средств автоматизации — Обработка Данных, содержащихся в ИСПД или извлеченных из нее, с непосредственным участием человека, без автоматизированного воздействия.
1.3.11. Общедоступные источники Данных — Источники открытой информации, потенциально доступной для информационного обеспечения (справочники, адресные книги и т. д.).
1.3.12. Оператор — ООО «Гибрид», занимающееся организацией и осуществлением обработки Данных, определяя при этом цели, состав и виды действий с ними.
1.3.13. Оценка возможного вреда — Оценка уровня вреда на базе анализа причинённых убытков и морального ущерба, а также нарушения конфиденциальности или доступности Данных.
1.3.14. Данные — Персональная информация, относящаяся к конкретному или предполагаемому индивиду.
1.3.15. Политика — Стратегия Оператора по организации обработки и защите Данных.
1.3.16. Передача Данных — Действия по распространению и предоставлению доступа к информации.
1.3.17. Субъект Данных — Индивидуум, к которому относится информация.
1.3.18. СЗИ — Инструменты обеспечения информационной безопасности.
1.3.19. Работник — Лицо, состоящее в трудовых отношениях с Оператором.
1.3.20. РФ — Российская Федерация.
1.3.21. Уничтожение Данных — Действие, приводящее к невозможности восстановления информации и (или) уничтожению её материальных носителей.
1.3.22. Трансграничная передача Данных — Пересылка информации за пределы страны, органам власти другого государства или иностранным лицам.
1.3.23. Третьи лица — Физические или юридические лица, вступающие в отношения с Оператором в рамках договорных или иных обязательств.
1.3.24. 152-ФЗ — Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
2. Принципы, цели и содержание обработки Данных.
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки Данных, указанных в ст. 5 152-ФЗ.
2.2. Оператор при выделении целей обработки стремится к улучшению информированности Субъектов Данных и выделяет существующие в компании процессы обработки Данных к каждой цели обработки Данных:
Цель | Категории субъектов и правовые основания обработки | Перечень (категории) обрабатываемых Данных | Способы обработки и действия с Данными | Сроки обработки (в т.ч. хранения) Данных |
---|---|---|---|---|
Подбор персонала и проверка соискателей на вакантную должность | Соискатели на вакантную должность: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). Участники кадрового резерва: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). | Соискатели на вакантную должность: фамилия, имя, отчество; дата рождения и (или) возраст; место рождения; сведения о гражданстве; сведения о месте жительства и (или) пребывания; сведения о месте осуществления деятельности; контактные данные; сведения о документе, удостоверяющем личность; сведения о нахождении в кадровом резерве; сведения о научной и просветительской деятельности; личностные знания, умения и навыки; сведения о текущей трудовой (служебной) деятельности; сведения о семейном положении, составе семьи; профессиональная квалификация; образование и обучение; предшествующая трудовая (служебная) деятельность; участие в капитале и (или) управлении юридических лиц; самостоятельная экономическая деятельность; индивидуальный налоговый учет; обязательное пенсионное страхование; отношение к воинской обязанности; состояние здоровья в отношении инвалидности; управление транспортными средствами; изображение (включая лицо). Участник кадрового резерва: аналогичный перечень сведений. | Способы обработки: Смешанная (с использованием средств автоматизации и без использования средств автоматизации). Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Соискатели на вакантную должность: до заключения трудового договора или 1 год со дня принятия решения о трудоустройстве или отказа в нем + 30 дней. Участники кадрового резерва: 3 года со дня принятия решения об отказе в трудоустройстве при предоставлении согласия. |
Управление персоналом | Работники: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законодательством РФ (п.2 ч.1 ст. 6 152-ФЗ). Уволенные работники, Эксперты по охране труда: обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законодательством РФ (п.2 ч.1 ст. 6 152-ФЗ). | Работники: фамилия, имя, отчество; дата рождения и (или) возраст; место рождения; половая принадлежность; сведения о гражданстве; сведения о месте жительства и (или) пребывания; сведения о месте осуществления деятельности; контактные данные; сведения о документе, удостоверяющем личность; сведения о семейном положении, составе семьи и родственных отношениях; сведения о профессии, трудовой/профессиональной квалификации и профессионализме; сведения об образовании и обучении; предшествующая трудовая (служебная) деятельность; конфликт интересов; индивидуальный налоговый учет; должность, структурное подразделение и текущее местотрудоустройства; доходы, расходы и удержания, связанные с трудовой деятельностью; обязательное медицинское, пенсионное и социальное страхование; личностные знания, умения и навыки; отношение к воинской обязанности; персональные служебные идентификаторы; состояние здоровья в отношении инвалидности; несчастный случай в рамках трудовой деятельности; результаты специальной оценки условий труда; (не)трудоспособность; рабочее время, страховой стаж и льготы; деловые поездки; посещение различных государств; финансово-платежные сведения; участие в судопроизводстве; наличие (отсутствие) исполнительного производства. Уволенные работники: фамилия, имя, отчество; контактные данные; сведения о документе, удостоверяющем личность; доходы, расходы и удержания, связанные с трудовой деятельностью; предшествующая трудовая деятельность. Эксперты по охране труда: фамилия, имя, отчества; должность и текущее место трудоустройства. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. Уволенные работники: до прекращения иных непосредственно связанных с трудовыми отношениями + 5 лет. Эксперты по охране труда: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений с работником + 3 года. |
Вознаграждение персонала и проведение выплат | Работники, Родственники работников (и иные получатели выплат): согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); участие оператора в исполнительном производстве (152-ФЗ: ст.6 ч.1 п.3.1); обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законодательством РФ (п.2 ч.1 ст. 6 152-ФЗ). Работники: договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ). | Работники: фамилия, имя, отчество; дата рождения и (или) возраст; место рождения; половая принадлежность; сведения о гражданстве; сведения о месте жительства и (или) пребывания; сведения о месте осуществления деятельности; контактные данные; сведения о семейном положении, составе семьи и родственных отношениях; сведения о документе, удостоверяющем личность; персональные служебные идентификаторы; сведения о должности, структурном подразделении и текущем месте трудоустройства; текущая трудовая деятельность; предшествующая трудовая деятельность; (не)трудоспособность; рабочее время, страховой стаж и льготы; доходы, расходы и удержания, связанные с трудовой деятельностью; индивидуальный налоговый учет; обязательное медицинское, пенсионное и социальное страхование; пенсионное обеспечение; деловые поездки; посещение различных государств; финансово-платежные сведения; участие в судопроизводстве; наличие (отсутствие) исполнительного производства; состояние здоровья в отношении инвалидности; профессия, трудовая/профессиональная квалификация и профессионализм; образование и обучение; конфликт интересов. Родственники работников (и иные получатели выплат): фамилия, имя, отчество; дата рождения и (или) возраст; половая принадлежность; сведения о гражданстве; сведения о месте жительства и (или) пребывания; сведения о семейном положении, составе семьи и родственных отношениях; сведения о документе, удостоверяющем личность; сведения о должности, структурном подразделении и текущем месте трудоустройства; текущая трудовая деятельность; финансово-платежные сведения; участие в судопроизводстве. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. Родственники работников (и иные получатели выплат): до прекращения трудовых отношений и иных непосредственно связанных с ними отношений работника + 5 лет; период действия оснований для осуществления выплат + 5 лет. |
Отчетность в государственные органы | Работники, Контрагенты, Владельцы и аффилиаты Оператора: обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законом РФ (п.2 ч.1 ст. 6 152-ФЗ). | Работники: фамилия, имя, отчество; дата рождения; сведения о гражданстве; сведения о месте жительства и (или) пребывания; контактные данные; сведения о документе, удостоверяющем личность; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о текущей и предшествующей трудовой деятельности; индивидуальный налоговый учет; обязательное медицинское, пенсионное и социальное страхование; пенсионное обеспечение. Контрагенты: фамилия, имя, отчество; дата рождения и (или) возраст; сведения о гражданстве; сведения о документе, удостоверяющем личность; индивидуальный налоговый учет; обязательное пенсионное страхование; адрес (место жительства). Владельцы и аффилиаты Оператора: фамилия, имя, отчество; дата рождения; сведения о гражданстве; сведения о документе, удостоверяющем личность; сведения о месте жительства и (или) пребывания; сведения о текущей трудовой деятельности. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. Контрагенты: до прекращения гражданско-правовых или деловых отношений + 3 года. Владельцы и аффилиаты Оператора: до прекращения владения/аффилированности + 5 лет. |
Организация и проведение обучения для работников | Работники, Эксперты: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законом РФ (п.2 ч.1 ст. 6 152-ФЗ); договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ). | Работники: фамилия, имя, отчества; дата рождения; сведения об обязательном пенсионном страховании; сведения о должности, структурном подразделении и текущем месте трудоустройства; контактные данные; сведения об образовании и обучении; сведения о профессии, трудовой/профессиональной квалификации; текущая трудовая деятельность; изображение (включая лицо); профессиональное развитие. Эксперты: фамилия, имя, отчества; сведения о должности и текущем месте трудоустройства; участие в мероприятиях; сведения о профессии, трудовой/профессиональной квалификации и профессионализме. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. Эксперты: до прекращения гражданско-правовых или деловых отношений + 3 года; до окончания действия выданных документов об образовании. |
Обеспечение пространственной мобильности персонала | Работники: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). | Фамилия, имя, отчества; дата рождения; контактные данные; сведения о деловых поездках, включая командировки и иные служебные поездки; сведения об использовании транспортных услуг; сведения о документе, удостоверяющем личность. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | До прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. |
Оформление постоянных пропусков | Работники: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). | Фамилия, имя, отчество; сведения о должности, структурном подразделении и текущем месте трудоустройства; персональные служебные идентификаторы. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | До прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. |
Организация и проведение мероприятий | Работники, Участники мероприятий: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). Спикеры: договор оператора с субъектом Данных (п. 5 ч. 1 ст. 6 152-ФЗ); обработка для осуществления прав и законных интересов оператора или третьих лиц (п.7 ч.1 ст. 6 152-ФЗ). | Работники: фамилия, имя, отчество; сведения о должности, структурном подразделении и текущем месте трудоустройства; контактные данные; сведения о семейном положении, составе семьи. Участники мероприятий: фамилия, имя, отчество; контактные данные; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о компании и сайте компании; участие в мероприятиях; информационное взаимодействие; идентификационные, аутентификационные и авторизационные данные. Спикеры: фамилия, имя, отчество; контактные данные; сведения о должности, структурном подразделении и текущем месте трудоустройства; участие в мероприятиях; результаты опроса и личное мнение; упоминание в различных источниках информации; персональные целевые рейтинги; изображение (включая лицо). | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. Участники мероприятий: до прекращения отношений с участником (окончания визита) + 3 года. Спикеры: до прекращения гражданско-правовых или деловых отношений + 3 года; до прекращения информационного освещения мероприятия. |
Обеспечение продуктивности, развития и поддержки персонала | Работники: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). | Фамилия, имя, отчество; дата рождения и (или) возраст; половая принадлежность; сведения о документе, удостоверяющем личность; сведения о должности, структурном подразделении и текущем месте трудоустройства; сведения о составе семьи; сведения об обязательном медицинском страховании; контактные данные. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | До прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. |
Обеспечение эффективности и устойчивости деятельности | Работники, Уволенные работники, Участники судебных процессов и исполнительных производств с Оператором: участие в судопроизводствах (п.3 ч.1 ст. 6 152-ФЗ); исполнение акта гос. органа или должностного лица (п.3.1 ч.1 ст. 6 152-ФЗ). Работники, Представители контрагентов: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). Контрагенты-физические лица, Персонал уполномоченных органов и организаций: обработка для осуществления прав и законных интересов оператора (п.7 ч.1 ст. 6 152-ФЗ). Персонал уполномоченных органов и организаций: обработка для функций и целей, возложенных зак-вом РФ (п.2 ч.1 ст. 6 152-ФЗ). | Работники: фамилия, имя, отчество; дата рождения и (или) возраст; образование; сведения о должности, структурном подразделении и месте трудоустройства; контактные данные; сертификат электронной подписи; сведения о месте жительства; допуск к охраняемой законом тайне; статус и полномочия на представление интересов; участие в судопроизводстве; исполнительное производство. Уволенные работники: аналогичный перечень с добавлением информации о нарушениях и ответственности. Представители контрагентов: аналогичный перечень с указанием гражданства и договоров гражданско-правового характера. Контрагенты-физические лица: аналогичный перечень данных. Участники судебных процессов и исполнительных производств: аналогичный перечень с информацией о доказательствах. Персонал уполномоченных органов и организаций: фамилия, имя, отчество; должность, подразделение, место трудоустройства; контактные данные. Физические лица, направляющие обращения/претензии: фамилия, имя, отчество; контактные данные; информационное взаимодействие. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений + 5 лет; до окончания процедур по конфликту интересов + 3 года. Уволенные работники: до окончания суд. процессов и исполнительных производств + сроки обжалования. Представители контрагентов: до прекращения гражданско-правовых или деловых отношений + 3 года. Контрагенты-физические лица: до прекращения отношений + 3 года. Участники судебных процессов и исполнительных производств: до окончания процесса + 3 года. Персонал уполномоченных органов и организаций: до завершения взаимодействия + 3 года. Физические лица, направляющие обращения/претензии: рассмотрение обращений и претензий + 3 года. |
Информационно-технологическое обеспечение | Работники, Представители контрагентов, Контрагенты-физические лица: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ); Работники: права и (или) законные интересы оператора/третьих лиц (п. 7 ч. 1 ст.6 152-ФЗ); обработка для осуществления функций, полномочий и обязанностей, и достижения целей, возложенных законом РФ (п.2 ч.1 ст. 6 152-ФЗ). Управленческий персонал Оператора, не состоящий с ним в трудовых отношениях: договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ). | Работники: фамилия, имя, отчество; дата рождения; сведения об образовании; документ, удостоверяющий личность; место жительства; допуск к охраняемой законом тайне; статус и полномочия на представление интересов; должность, структурное подразделение и текущее место трудоустройства; контактные данные; текущая трудовая деятельность; изображение (включая лицо); сведения о пользовательском устройстве; идентификационные, аутентификационные и авторизационные данные; использование программных и аппаратных средств, информационных систем и сетей. Представители контрагентов; Контрагенты-физические лица: аналогичный перечень без сведений о допуске к тайне. Управленческий персонал Оператора, не состоящий с ним в трудовых отношениях: аналогичный перечень без сведений о трудовой деятельности, включающий информацию о профессии и квалификации. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений + 5 лет. Представители контрагентов; Контрагенты, Управленческий персонал Оператора, не состоящий с ним в трудовых отношениях: до прекращения гражданско-правовых или деловых отношений + 3 года. |
Сопровождение и поддержка деятельности | Персонал уполномоченных органов и организаций: обработка для осуществления функций и обязанностей, возложенных законом РФ (п.2 ч.1 ст. 6 152-ФЗ); права и законные интересы оператора/третьих лиц (п. 7 ч. 1 ст.6 152-ФЗ). Работники, Представители контрагентов, субподрядчиков и соисполнителей, Контрагенты-физические лица, Управленческий персонал, не состоящий в трудовых отношениях: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); обработка для функций и интересов (п.2 ч.1 и п.7 ч.1 ст. 6 152-ФЗ). | Работники: фамилия, имя, отчество; место жительства; документ, удостоверяющий личность; текущая трудовая деятельность; должность и место трудоустройства; контактные данные. Представители контрагентов, субподрядчиков и соисполнителей: аналогичный перечень с добавлением статуса и полномочий, профессии и квалификации, транспортного средства. Контрагенты-физические лица: фамилия, имя, отчество; дата рождения; половая принадлежность; документ, удостоверяющий личность; место жительства; самостоятельная экономическая деятельность; контактные данные; индивидуальный налоговый учет; пенсионное страхование; финансово-платежные сведения. Управленческий персонал, не состоящий в трудовых отношениях: аналогичный перечень с добавлением гражданской службы. Персонал уполномоченных органов и организаций: фамилия, имя, отчество; контактные данные; текущая трудовая деятельность; информационное взаимодействие. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Все категории, кроме работников и персонала уполномоченных органов: до окончания срока действия договора + 5 лет. Работники: до прекращения трудовых отношений + 5 лет. Персонал уполномоченных органов и организаций: до завершения взаимодействия + 3 года. |
Совершенствование и развитие деятельности | Работники, Заинтересованные в сотрудничестве лица, Представители контрагентов, субподрядчиков и соисполнителей, Пользователи (посетители) информационных ресурсов Оператора, Получатели сообщений от Оператора: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ). Заинтересованные в сотрудничестве лица, Получатели сообщений от Оператора, Пользователи (посетители) информационных ресурсов Оператора, Контрагенты-физические лица, Представители контрагентов, субподрядчиков и соисполнителей: права и законные интересы оператора/третьих лиц (п. 7 ч. 1 ст.6 152-ФЗ). Пользователи (посетители) информационных ресурсов Оператора, Контрагенты-физические лица, Управленческий персонал Оператора, не состоящий в трудовых отношениях: договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ). | Работники: фамилия, имя, отчество; текущая трудовая деятельность; должность и место трудоустройства; контактные данные. Представители контрагентов, субподрядчиков и соисполнителей: аналогичный перечень с добавлением статуса и полномочий, профессии, опросов, потенциала сотрудничества, деловых интересов. Контрагенты-физические лица: аналогичный перечень с добавлением договоров, налогового учета, участия в мероприятиях. Управленческий персонал Оператора: контактные данные, профессия и квалификация. Пользователи информационных ресурсов: участие в мероприятиях, метрики взаимодействия, контактные данные, должность и место трудоустройства, идентификационные данные. Получатели сообщений от Оператора: аналогичный перечень с участием в мероприятиях, метрики взаимодействия и контактными данными. Заинтересованные в сотрудничестве лица: аналогичный перечень с дополнительной информацией о самостоятельной экономической деятельности, налоговом учете и правовом статусе. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение; извлечение; использование; передача (распространение, предоставление, доступ); удаление; уничтожение. | Работники: до прекращения трудовых отношений + 5 лет. Управленческий персонал, Контрагенты-физические лица, Представители контрагентов, субподрядчиков и соисполнителей: до прекращения делового взаимодействия + 3 года. Пользователи информационных ресурсов, Получатели сообщений от Оператора, Заинтересованные в сотрудничестве лица: до окончания информационного взаимодействия + 3 года. |
Ведение основной деятельности | Представители контрагентов, субподрядчиков и соисполнителей, Работники: согласие на обработку Данных (п.1 ч.1 ст. 6 152-ФЗ); права и законные интересы оператора/третьих лиц (п. 7 ч. 1 ст.6 152-ФЗ). Управленческий персонал Оператора, не состоящий в трудовых отношениях, Контрагенты-физические лица: договор оператора с субъектом Данных (п. 5 ч. 1 ст.6 152-ФЗ). | Работники: фамилия, имя, отчество; сведения о должности, структурном подразделении и текущем месте трудоустройства; контактные данные. Представители контрагентов, субподрядчиков и соисполнителей: фамилия, имя, отчество; документ, удостоверяющий личность; контактные данные; текущая трудовая деятельность; должность, структурное подразделение и текущее место трудоустройства; статус и полномочия на представление интересов; профессия, квалификация и профессионализм; договоры гражданско-правового характера. Контрагенты-физические лица: фамилия, имя, отчество; документ, удостоверяющий личность; место жительства; контактные данные; договоры гражданско-правового характера. Управленческий персонал Оператора, не состоящий в трудовых отношениях: фамилия, имя, отчество; контактные данные; профессия, квалификация и профессионализм. Персонал уполномоченных органов и организаций: фамилия, имя, отчество; контактные данные; текущая трудовая деятельность. | Способы обработки: Смешанная. Перечень действий: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение. | Все категории, кроме работников: до прекращения гражданско-правовых или деловых отношений + 3 года. Работники: до прекращения трудовых отношений и иных непосредственно связанных с ними отношений + 5 лет. |
2.3. Цели, состав и категории обрабатываемых Данных, правовые основания, сроки хранения и методы обработки указаны в 2.2 настоящей Политики.
2.4. Дополнительные сведения об обработке Данных отражены в локальных нормативных актах Оператора и соответствующих согласиях субъектов.
3. Особенности сбора и иной обработки Данных.
3.1. Оператор может обрабатывать Данные, полученные им и/или его уполномоченными лицами непосредственно от субъекта Данных и/или его представителя или иным способом, не запрещённым законом.
3.2. При сборе Данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Данных граждан РФ с использованием баз данных, расположенных на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о Данных.
3.3. Для обработки Данных, Оператор может использовать информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэш-накопители, съёмные жесткие диски), бумажные носители (как отдельные, так и включённые в систематизированные собрания), а также передавать Данные по внутренней сети Оператора. Доступ к таким Данным обеспечивается только строго определённому и ограниченному Оператором кругу лиц, включая работников Оператора, и/или передавать Данные с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
3.4. Оператор не осуществляет обработку Биометрических Данных.
3.5. Оператор осуществляет обработку специальных категорий Данных исключительно в случаях, предусмотренных ч. 2 ст. 10 152-ФЗ.
4. Передача Данных.
4.1. Оператор для реализации целей обработки Данных вправе:
4.1.1. привлекать третьих лиц к обработке Данных, поручая третьим лицам обработку или получая Данные от третьих лиц и передавая их без поручения обработки;
4.1.2. выполнять трансграничную передачу Данных третьим лицам на территории иностранных государств с соблюдением требований законодательства
4.2. Привлечение третьих лиц к обработке Данных возможно только при условии минимально необходимого объёма Данных для обработки и исключительно для достижения установленных целей. Также необходимо обеспечить конфиденциальность и безопасность Данных при их обработке.
4.3. К числу третьих лиц могут относиться:
4.3.1. организации, входящие в группу компаний;
4.3.2. контрагенты Оператора;
4.3.3. лица, имеющие право в предусмотренных законодательством случаях на получение Данных в необходимом объёме для выполнения своих функций;
4.3.4. лица, которым могут быть переданы права и/или обязанности Оператора в отношении установленных целей обработки Данных;
4.3.5. правопреемники или аффилированные лица, если Оператор или его аффилированные лица участвуют в сделках по реорганизации, слиянию, поглощению или другому изменению;
4.3.6. прочие лица, с которыми Оператор взаимодействует для достижения целей обработки Данных.
4.4. Фактический состав третьих лиц, привлекаемых к обработке Данных, определяется на основании отношений между Оператором и субъектом Данных, положениям законодательства, а также договорами и согласиями.
4.5. Создание общедоступных источников Данных и/или их распространение Оператором возможно только с согласия субъекта Данных или по требованию законодательства.
5. Условия прекращения обработки Данных и порядок уничтожения Данных.
5.1. Оператор установил следующие условия прекращения обработки Данных:
5.1.1. достижение целей обработки Данных и максимальных сроков хранения;
5.1.2. утрата необходимости в достижении целей обработки;
5.1.3. выявление неправомерной обработки, включая незаконное получение или отсутствие необходимости в Данных для заявленной цели;
5.1.4. невозможность обеспечения правомерности обработки Данных;
5.1.5. отзыв субъектом Данных согласия на обработку, если сохранение более не требуется для целей и иных законных оснований;
5.1.6. требование субъекта Данных к Оператору о прекращении обработки, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка;
5.1.8. ликвидация или некоторые формы реорганизации Оператора;
5.1.9. Прекращение обработки Данных, регулируемой нормами 152-ФЗ, происходит:
5.1.9.1. путем блокирования Данных;
5.1.9.2. путем уничтожения Данных;
5.1.9.3. в случаях, предусмотренных законодательством об архивном деле в РФ.
5.2. При невозможности уничтожения Данных в сроки, определенные 152-ФЗ, Оператор осуществляет блокирование Данных и уничтожает их в течение 6 (шести) месяцев, если иной срок не установлен законодательством.
5.3. Уничтожение Данных производится так, чтобы исключить возможность восстановления. Если данные невозможно уничтожить без повреждения их материального носителя, подлежат уничтожению и данные, и носитель.
5.4. Подтверждение факта уничтожения Данных осуществляется в соответствии с требованиями уполномоченного органа по защите прав субъектов Данных.
6. Меры по надлежащей организации обработки и обеспечению безопасности Данных.
6.1. Оператор принимает необходимые меры для выполнения требований законодательства РФ, касающихся обработки и защиты Данных, включая:
6.1.1. внутренний контроль и (или) аудит соответствия обработки Данных требованиям 152-ФЗ и другим нормативным актам, а также внутренним документам Оператора;
6.1.2. назначение ответственного за организацию обработки Данных и (если применимо) за безопасность Данных в ИСПД;
6.1.3. издание документов, определяющих политику обработки Данных, локальные акты Оператора по каждой цели обработки, категории Данных и субъектов, способы и сроки хранения и уничтожения Данных, а также их защита. Документы не должны ограничивать права субъектов Данных или возлагать на Оператора дополнительные ненадлежащие полномочия;
6.1.4. обеспечение информирования и (или) обучения лиц, привлеченных к обработке Данных, о применимых требованиях законодательства о Данных и внутренней политике Оператора;
6.1.5. оценка вреда, установленного уполномоченным органом, который может быть причинён субъектам в случае нарушения требований о Данных.
6.2. Оператор предпринимает правовые, организационные и технические меры для защиты Данных от несанкционированного доступа, изменения, уничтожения и других неправомерных действий.
6.3. Безопасность Данных обеспечивается, в частности, следующими мерами:
6.3.1. обнаружением актуальных угроз безопасности Данных при их обработке в ИСПД;
6.3.2. применением обеспечивающих защиту мер, включая технические средства, для поддержания конфиденциальности, целостности и доступности Данных;
6.3.3. контролем за действенностью мер безопасности Данных до запуска ИСПД;
6.3.4. использованием прошедших оценку соответствия СЗИ для уничтожения Данных;
6.3.5. обнаружением и устранением последствий несанкционированного доступа и компьютерных атак на ИСПД;
6.3.6. учётом машинных носителей Данных и установлением правил доступа к ИСПД;
6.3.7. планированием мест хранения и защиты материальных носителей Данных;
6.3.8. предотвращением объединения баз ИСПД, если цели их обработки несовместимы;
6.3.9. информированием привлечённых лиц о правилах обработки Данных без автоматизации;
6.3.10. организацией безопасности помещений для обработки Данных и защиты от несанкционированного доступа;
6.3.11. уничтожением Данных способом, исключающим их восстановление, и подтверждением этого в соответствии с требованиями органов защиты;
6.3.12. регулярной оценкой эффективности принятых мер безопасности.
6.4. Сведения о безопасности Данных при их обработке включают:
6.4.1. разработку модели угроз для защиты Данных в ИСПД;
6.4.2. установку и использование СЗИ в соответствии с технической документацией;
6.4.3. учёт и контроль за использованием СЗИ и обучением персонала, работающего с ними;
6.4.4. оперативные проверки в случае нарушения условий хранения и использования СЗИ, связанных с нарушением конфиденциальности Данных.
6.5. В случае нарушения передачи или доступа Данных, повлёкшего нарушение прав субъектов, Оператор уведомляет уполномоченный орган в соответствии с законодательством о Данных.
7. Лица, ответственные за организацию обработки Данных и за обеспечение безопасности Данных в ИСПД.
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки Данных, регламентируются ст.22.1 152-ФЗ и локальными актами Оператора в области обработки и защиты Данных.
7.2. Назначение и освобождение от обязанностей лица, ответственного за организацию обработки Данных, осуществляется по решению Оператора. При выборе учитываются полномочия, компетенции и личностные качества, которые позволяют эффективно реализовывать права и обязанности.
7.3. Лицо, ответственное за организацию обработки Данных:
7.3.1. организует внутренний контроль за соблюдением Оператором законодательства о Данных, включая требования к защите;
7.3.2. обеспечивает ознакомление сотрудников с законодательными положениями и локальными актами Оператора в области обработки и защиты Данных;
7.3.3. контролирует процесс обработки обращений и запросов от субъектов Данных или их представителей.
7.4. Права, обязанности и юридическая ответственность лица, ответственного за обеспечение безопасности Данных в ИСПД, а также организация обработки Данных, определяются ст.22.1 152-ФЗ и локальными актами Оператора.
7.5. Руководитель назначает лицо, ответственное за обеспечение безопасности Данных в ИСПД.
7.6. Лицо, ответственное за безопасность Данных в ИСПД, отвечает за сохранность данных, принятие и обеспечение технических мер, предотвращение и расследование Компьютерных инцидентов, связанных с Данными.
8. Права субъектов Данных.
8.1. Субъект Данных вправе получить сведения о том, как Оператор обрабатывает его Данные.
8.2. Субъект Данных может требовать от Оператора уточнения, блокирования или уничтожения Данных, если они неполные, устаревшие, неточные, получены незаконно или не требуются для заявленной цели. Это включает в себя принятие мер, предусмотренных законом, для защиты своих прав.
8.3. Право субъекта на доступ к своим Данным может быть ограничено федеральными законами, например, если такой доступ нарушает права или законные интересы третьих лиц.
8.4. Субъект Данных вправе в любое время полностью или частично отозвать ранее данное согласие на обработку Данных, а также потребовать прекращения их обработки, кроме случаев, предусмотренных п.п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 152-ФЗ. Эти права можно реализовать через обращение к Оператору.
8.5. Для защиты своих прав субъект Данных или его представитель могут обратиться к Оператору любым способом, указанным в пункте 8.12. Политики или устно по месту нахождения Оператора.
8.6. Любое обращение должно содержать описание требований и информацию для идентификации субъекта Данных, обрабатываемых Оператором.
8.7. Во избежание избыточной обработки Данных Оператор использует принцип соразмерности предоставленных сведений для идентификации, включая:
8.7.1. если дано согласие в форме, предусмотренной ч. 4 ст. 9 Федерального закона № 152-ФЗ, запрос должен содержать:
8.7.1.1. информацию об обратившемся лице (имя, серия и номер документа, удостоверяющего личность, или другие идентификационные данные);
8.7.1.2. данные о факте предоставления согласия на обработку;
8.7.1.3. описание предмета обращения;
8.7.1.4. дату и подпись.
8.7.2. в других случаях субъект указывает сведения, которые предоставил для обработки, как указано в ст. 6 152-ФЗ (например, номер телефона или электронную почту).
8.8. Оператор рассматривает обращения и предпринимает меры по защите данных в течение десятидневного срока, включая досудебное урегулирование.
8.9. Оператор гарантирует тщательное рассмотрение всех обращений и жалоб субъектов Данных и предпринимает меры для их немедленного решения.
8.10. Субъект Данных может обжаловать действия или бездействие Оператора через уполномоченный орган.
8.11. Субъект Данных вправе на защиту своих прав и интересов, включая возмещение убытков и компенсацию морального вреда в судебном порядке.
8.12. В случае вопросов относительно обработки или Политики, субъект может обратиться к Оператору через:
8.12.1. личное письменное обращение по адресу, указанному в п. 13.2 Политики;
8.12.2. электронное обращение на указанный адрес, в виде скан-копии подписанного заявления.
9. Порядок утверждения и внесения изменений в Политику.
9.1. Настоящая Политика утверждается решением Оператора и действует до момента её отмены.
9.2. Оператор обладает правом вносить изменения в Политику по мере необходимости. Изменения утверждаются отдельным решением Оператора.
9.3. Обновлённая версия Политики размещается на официальном сайте Оператора по адресу: https://hybrid.ru/.
9.4. Пересмотр Политики осуществляется по мере необходимости, но не реже одного раза каждые три года с даты последнего пересмотра или в случае:
9.4.1. изменений в законодательстве Российской Федерации, касающихся обработки и защиты Данных;
9.4.2. изменений в локальных актах Оператора, касающихся обработки и защиты Данных;
9.4.3. изменений в организационных процессах Оператора, связанных с обработкой и защитой Данных;
9.4.4. изменений в деятельности или организационной структуре Оператора;
9.4.5. других факторов, которые могут значительно повлиять на процесс обработки и защиты Данных Оператором.
10. Заключительные положения.
10.1. Актуальная редакция Политики в бумажном варианте хранится по адресу исполнительного органа Оператора, электронная версия доступна на официальном сайте по адресу: https://hybrid.ru/.
10.2. Иные права и обязанности Общества как Оператора Данных определяются законодательством Российской Федерации в области персональных данных.
10.3. Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки Данных, а также за разглашение или незаконное использование Данных в соответствии с законодательством Российской Федерации.
10.4. Реквизиты и контактная информация Оператора:
10.4.1. Наименование: Общество с ограниченной ответственностью «Гибрид»;
10.4.2. Почтовый адрес: 392036, Тамбовская обл, Тамбов г, Коммунальная ул, дом № 18, этаж 3;
10.4.3. Контактный телефон: +7 (915) 880 07 53;
10.4.4. E-mail: marketing@hybrid.ru.