О Компании
Политика защиты и обработки персональных данных ООО «Индевлабс»
Общие положения
- Настоящая Политика защиты и обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении персональных данных (далее – ПД), которые ООО «Индевлабс» (далее – Оператор) может получить от субъекта ПД.
- Оператор обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о ПД.
- Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
- Понятия, содержащиеся в ст. 3 Закона о ПД, используются в настоящей Политике с аналогичным значением.
Правовые основания обработки ПД
- Правовыми основаниями обработки ПД Оператором являются:
- Конституция Российской Федерации
- Трудовой кодекс Российской Федерации
- Гражданский кодекс Российской Федерации
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27.07.2006 N 152-ФЗ «О ПД».
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»
- Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 N 27-ФЗ
- уставные документы Оператора
- договоры, заключаемые между Оператором и субъектами ПД
- согласия субъектов ПД на обработку ПД
- иные основания, когда согласие на обработку ПД не требуется в силу закона
Порядок и условия обработки и хранения ПД
- Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
- Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
- Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку ПД.
- К обработке ПД допускаются работники Оператора, в должностные обязанности которых входит обработка ПД
- Обработка ПД осуществляется путем:
- получения ПД в устной и письменной форме непосредственно с согласия субъекта ПД на обработку его ПД
- получения ПД из общедоступных источников
- использования иных способов обработки ПД
- Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.
- Передача ПД органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
- Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности ПД при их обработке
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПД
- назначает лиц, ответственных за обеспечение безопасности ПД в структурных подразделениях и информационных системах Оператора
- создает необходимые условия для работы с ПД
- организует учет документов, содержащих ПД
- организует работу с информационными системами, в которых обрабатываются ПД
- хранит ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним
- организует обучение работников Оператора, осуществляющих обработку ПД
- Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором.
- При сборе ПД, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о ПД.
- Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки
- Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется
- Трансграничная передача ПД Оператором не осуществляется
Цели обработки ПД
- Обработке подлежат только ПД, которые отвечают целям их обработки.
- Обработка Оператором ПД осуществляется в следующих целях:
- обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации
- осуществление своей деятельности в соответствии с уставом Оператора
- ведение кадрового делопроизводства
- содействие работникам в трудоустройстве, продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества
- привлечение и отбор кандидатов на работу у Оператора
- заключение с субъектами ПД любых договоров и их дальнейшего исполнения
- идентификация субъекта ПД в рамках заключенных с Оператором договоров
- предоставление субъектам ПД сервисов и услуг Оператора, а также информации о разработке Оператором новых продуктов и услуг, в том числе рекламного характера
- обратная связь с субъектами ПД, в том числе обработка их запросов и обращений, информирование о работе Сайта;
- контроль и улучшение качества услуг и сервисов Оператора, в том числе предложенных на Сайте
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- ведение бухгалтерского учета
- осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации
- Обработка ПД работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
- Обрабатываются ПД следующих субъектов ПД
- работники Оператора, бывшие работники, кандидаты для приема на работу
- клиенты и контрагенты Оператора (физические лица)
- представители/работники клиентов и контрагентов Оператора (юридических лиц)
- посетители сайта Оператора
-
К ПД, обрабатываемым Оператором, относятся:
- фамилия, имя, отчество субъекта ПД
- паспортные данные субъекта ПД
- место проживания (регион/город) и адрес субъекта ПД
- специальность/область профессиональных интересов
- номер мобильного телефона
- адрес электронной почты (e-mail)
- история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов)
- фото субъекта ПД
- иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки)
Хранение ПД
- ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде
- ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа
- ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках
- Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках)
- Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение ПД
- Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
- ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
- Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
Сведения о реализуемых требованиях к защите ПД
- В соответствии с требованиями нормативных документов Оператором создана система защиты ПД (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
- Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
Основные меры защиты ПД, используемыми Оператором
- Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
- Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
- Разработка политики в отношении обработки ПД.
- Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
- Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
- Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
- Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД.
- Осуществление внутреннего контроля и аудита.
Основные права и обязанности субъекта ПД и обязанности Оператора
- Субъект имеет право на доступ к его ПД и следующим сведениям:
- подтверждение факта обработки ПД Оператором
- правовые основания и цели обработки ПД
- цели и применяемые Оператором способы обработки ПД
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона
- сроки обработки ПД, в том числе сроки их хранения
- порядок осуществления субъектом ПД прав, предусмотренных законами
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу
- обращение к Оператору и направление ему запросов
- обжалование действий или бездействия Оператора
- Субъект ПД обязан:
- предоставлять Оператору только достоверные данные о себе
- предоставлять документы, содержащие ПД в объеме, необходимом для цели обработки
- сообщать Оператору об уточнении (обновлении, изменении) своих ПД
- Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте ПД без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
-
Оператор обязан:
- при сборе ПД предоставить информацию об обработке ПД
- в случаях если ПД были получены не от субъекта ПД, уведомить субъекта
- при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД
- давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД
- Оператор имеет право:
- получать от субъекта ПД достоверные информацию и/или документы, содержащие ПД
- требовать от субъекта ПД своевременного уточнения предоставленных ПД
Изменение и уничтожение ПД, запросы субъектов ПД
- В случае подтверждения факта неточности ПД или неправомерности их обработки ПД подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.
- Факт неточности ПД или неправомерности их обработки может быть установлен либо субъектом ПД, либо компетентными государственными органами Российской Федерации.
- По письменному запросу субъекта ПД или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке ПД указанного субъекта. Такой запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД и его представителя и документ, подтверждающий права представителя на получение таких данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя.
- Если в запросе субъекта ПД не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
- В порядке, предусмотренном п. 6.3, субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- При достижении целей обработки ПД, а также в случае отзыва субъектом ПД Согласия, ПД данные подлежат уничтожению, если:
- Оператор не вправе осуществлять обработку без Согласия субъекта ПД
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД
- иное не предусмотрено иным соглашением между Оператором и субъектом ПД
Политика в отношении cookie-файлов
- Сookie-файлы используются на Сайте для улучшения качества взаимодействия посетителей с Сайтом, позволяя Сайту запоминать посетителей на время их первого или во время повторных посещений. В некоторых случаях cookie- файлы используются для персонализации информации на Сайте, основываясь на местоположении.
- Оператор использует cookie-файлы, которые необходимы для перемещения посетителей по Сайту или работы определенных основных функций. Сookie-файлы используются для улучшения функциональности Сайта, например, за счет сохранения настроек посетителя. Оператор также использует cookie- файлы для улучшения работы Сайта, чтобы улучшить качество взаимодействия посетителей с Сайтом.