Политика ООО «Дзен.Платформа» в области обработки и обеспечения безопасности персональных данных
- 1. Общие положения
- 2. Основные понятия, используемые в политике
- 3. Цели обработки персональных данных
- 4. Правовые основания обработки персональных данных
- 5. Категории субъектов персональных данных и объем обрабатываемых персональных данных
- 6. Основные права и обязанности субъектов персональных данных
- 7. Основные правила обработки персональных данных
- 8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
- 9. Выполняемые требования по обеспечению безопасности персональных данных
1. Общие положения
1.1. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) является основой для организации работы по обработке и обеспечению безопасности персональных данных в ООО «Дзен.Платформа» (далее – Компания). Положения настоящей Политики распространяются на всех работников Компании, имеющих доступ к персональным данным.
1.2. Настоящая Политика является общедоступной и подлежит размещению на сайте Компании. Компания оставляет за собой право в любое время обновлять и изменять Политику.
1.3. Обработка персональных данных в Компании осуществляется в соответствии с требованиями действующего законодательства и следующими основными принципами:
• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
• легитимности организационных и технических мер по обеспечению безопасности персональных данных;
• непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
• стремления к постоянному совершенствованию системы защиты персональных данных.
1.4. С целью поддержания деловой репутации Компания считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
1.5. Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
2. Основные понятия, используемые в политике
2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Субъект персональных данных – определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные.
2.4. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.5. Конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом РФ.
3. Цели обработки персональных данных
3.1. В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:
3.1.1. Осуществление исполнения заключенных трудовых договоров, в том числе:
• содействие в обучении и продвижении по службе, обеспечения личной безопасности работников, контроль количества и качества выполняемой работы;
• обеспечение сохранности имущества;
• расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов;
• ведение воинского учета;
• предоставление дополнительных услуг за счет Компании (перечисление доходов на платежные карты работников; добровольное страхование работников и членов их семей за счет Компании, негосударственное пенсионное обеспечение, обеспечение командировок, оплата корпоративной телефонной связи и пр.);
• выполнение требований нормативных правовых актов органов государственного статистического учета;
• предоставление работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями;
• ведение кадрового учета, контроль за соблюдением законодательства и внутренних процедур Компании;
• выполнения требований Трудового кодекса РФ об информировании родственников о несчастных случаях;
• страхование жизни и медицинское страхование членов семей работников;
• принятие решений о возможности замещения вакантных должностей соискателями, наиболее полно соответствующими требованиям Компании.
3.1.2. Выполнение норм Гражданского кодекса РФ, регулирующих договорную работу, заключение и исполнение договоров с контрагентами, исполнение соглашений об использовании интернет-сервисов, предоставляемых Компанией (пользовательского соглашения, условий использования, правил использования, лицензионных соглашений, политик либо иных соглашений), заключенных с пользователями интернет-сервисов; исполнение договоров с аффилированными с Компанией лицами; информирование посетителей сайтов Компании в сети Интернет, интернет-сервисов и программ Компании о деятельности Компании, проводимых мероприятиях и продуктах Компании и аффилированных с Компанией лицами; исполнение договоров с контрагентами.
3.1.3. Обеспечение возможности прохода в помещения Компании лиц, не имеющих постоянных пропусков, контроль их убытия из охраняемых помещений, предоставление возможности парковки на территории Компании;
3.1.4. Рассмотрение поступающих от заявителей заявлений, предложений, жалоб, претензий и иных документов, подготовка ответов на них; выполнение Компанией действий по запросу представителей субъектов персональных данных.
4. Правовые основания обработки персональных данных
4.1. Компания осуществляет обработку персональных данных на следующих правовых основаниях:
• Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ;
• Гражданский кодекс РФ от 30.11.1994 г. № 51-ФЗ (часть первая), от 26.01.1996 г. №14-ФЗ (часть вторая),от 26.11.2001 г. № 146-ФЗ (часть третья), от 18.12.2006 г. № 230-ФЗ (часть четвертая);
• Налоговый кодекс РФ от 31.07.1998 г. № 146-ФЗ (часть первая), от 05.08.2000 г. №117-ФЗ (часть вторая);
• Федеральный закон от 08.08.2001 г. № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
• Федеральный закон от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной трудоспособности и в связи с материнством»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 16.07.1999 г. № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
• Федеральный закон от 24.07.1998 г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Постановление Государственного комитета РФ по статистике от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
• Нормативные правовые акты уполномоченных органов;
• Трудовые и гражданско-правовые договоры и иные соглашения Компании;
• Согласие субъектов на обработку персональных данных.
4.2. Для каждого из Интернет-сервисов Компании предусмотрена соответствующая политика конфиденциальности, не противоречащая настоящей Политике.
5. Категории субъектов персональных данных и объем обрабатываемых персональных данных
5.1. В Компании осуществляется или допускается обработка персональных данных следующих категорий субъектов персональных данных:
• соискатели на вакантные должности;
• работники Компании;
• бывшие работники Компании;
• члены семей работников Компании;
• представители контрагентов Компании;
• пользователи интернет-сервисов Компании;
• представители субъектов персональных данных.
5.2. Объем персональных данных, обрабатываемых Компанией в целях заключения, исполнения, сопровождения, изменения, расторжения соглашений с пользователями сервисов Компании определяется Политикой конфиденциальности соответствующих сервисов.
5.3. Объем персональных данных, обрабатываемых Компанией в иных целях, предусмотренных настоящей Политикой, определяется локальными актами Компании и доводится до сведения субъектов персональных данных по запросу.
5.4. Обработка Компанией специальных категорий персональных данных допускается только в случаях, предусмотренных федеральным законодательством РФ.
5.5. Обработка Компанией биометрических персональных данных не осуществляется, если иное явным образом не указано в политике конфиденциальности Интернет-сервисов Компании или в отдельном локальном нормативном акте.
6. Основные права и обязанности субъектов персональных данных
6.1. Субъекты персональных данных вправе:
6.1.1. получать информацию, касающуюся своих персональных данных и ее обработки, в порядке и в объеме, предусмотренном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
6.1.2. назначать представителей;
6.1.3. требовать от Компании уточнения персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.4. принимать предусмотренные законодательством РФ меры по защите своих прав;
6.1.5. отзывать согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой;
6.1.6. требовать прекратить обработку персональных данных в порядке, предусмотренном настоящей Политикой;
6.1.7. устанавливать запрет на передачу (кроме предоставления доступа) персональных данных Компанией неограниченному кругу лиц, а также запретов на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц в согласии на обработку персональных данных, разрешенных субъектом для распространения.
6.2. Субъекты персональных данных обязаны осуществлять свои права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе с частью 3 статьи 14, устанавливающей требования к содержанию запросов от субъектов, а также с иными нормативными правовыми актами.
7. Основные правила обработки персональных данных
7.1. Компания осуществляет обработку персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение (в т.ч. уничтожение части) персональных данных только при наличии оснований и в течение сроков, предусмотренных действующим законодательством.
7.2. Обработка персональных данных Компанией осуществляется как с использованием, так и без использования средств автоматизации (в т.ч. смешанная обработка).
7.3. При обработке персональных данных Компания соблюдает права субъектов персональных данных и выполняет обязанности оператора, предусмотренные законодательством РФ о персональных данных.
7.4. Обработка Компанией персональных данных может осуществляться по поручению третьих лиц. В таких случаях Компания не является оператором и не обязана получать согласия на обработку персональных данных у субъектов персональных данных.
7.5. Компания, осуществляя обработку персональных данных субъекта персональных данных, вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора.
7.6. При сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
7.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.8. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
7.9. Компания в ходе своей деятельности может осуществлять передачу персональных данных третьим лицам, в случаях, предусмотренных законодательством РФ или с согласия субъекта персональных данных.
7.10. Компания в ходе своей деятельности может осуществлять трансграничную передачу персональных данных с соблюдением условий, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Компанией.
8.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, прекращения обработки персональных данных по обращению субъекта персональных данных, Компания прекращает обработку персональных данных способом, предусмотренным ч. 7 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.3. Компания вправе продолжить обработку персональных данных в случае достижения цели обработки, при наличии иных законных оснований. Компания также вправе продолжить обработку персональных данных после отзыва согласия субъекта на обработку персональных данных, прекращения обработки персональных данных по обращению субъекта персональных данных, при наличии оснований, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.4. В случае выявления неправомерной обработки персональных данных они подлежат уничтожению Компанией в порядке, предусмотренном законодательством РФ о персональных данных.
8.5. Компания осуществляет реагирование на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов в соответствии с действующим законодательством РФ.
8.6. Запросы/обращения указанных субъектов по поводу неточности персональных данных, неправомерности их обработки, доступа субъекта персональных данных к своим персональным данным направляются по адресу места нахождения Компании в письменной форме или в ином порядке, предусмотренном действующим законодательством РФ. Отзыв согласия на обработку персональных данных, обращение субъекта персональных данных с требованием о прекращении обработки персональных данных направляются субъектом персональных данных в письменной форме по адресу места нахождения Компании.
8.7. Компания вправе ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных федеральными законами РФ, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.
8.8. При направлении запроса/обращения в Компанию с целью реализации прав субъекта персональных данных необходимо указывать:
• фамилию, имя, отчество субъекта персональных данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название и дата проведения конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
• подпись субъекта персональных данных (или его представителя).
8.9. При направлении отзыва согласия на обработку Персональных данных, обращения с требованием о прекращении обработки персональных данных в Компанию с целью реализации прав субъекта персональных данных необходимо указывать, в том числе:
• фамилию, имя, отчество субъекта персональных данных или его представителя, адрес субъекта персональных данных;
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название и дата проведения конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
• подпись субъекта персональных данных (или его представителя).
Для каждого из типов запросов или обращений Компанией разработаны примеры форм, которые приведены в приложении к действующему в Компании документу «Регламент взаимодействия с субъектами персональных данных». Субъект персональных данных имеет право отказаться от использования примера формы и предоставить запрос или обращение в другой форме с соблюдением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9. Выполняемые требования по обеспечению безопасности персональных данных
9.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования применимых нормативных документов в области обработки и обеспечения безопасности персональных данных, включая:
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
9.2. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
9.3. В Компании назначено лицо, ответственное за организацию обработки персональных данных, и назначено лицо, ответственное за обеспечение безопасности персональных данных.
9.4. Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
Редакция от 05.12.2022 г.