В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1.Настоящая Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Шарко» (далее – Политика) составлена в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и действует в отношении всех персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «Шарко» (далее – Оператор) и распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих у Оператора вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора. Использование услуг Оператора, а также взаимодействие с веб-сайтом Оператора, означает полное согласие субъекта персональных данных с настоящей Политикой.
2. Сведения об Операторе
2.1. Наименование Оператора: Общество с ограниченной ответственностью «Шарко» (ООО «Шарко»).
2.2. Адрес места нахождения: 125124, г. Москва, вн.тер.г. муниципальный округ Беговой, ул. Правды, 7/9, помещ. 16Ц
2.3. Адрес электронной почты: advance.20@yandex.ru.
2.4. Адрес сайта в сети интернет: https://sharkorelax.ru
3. Основные понятия, используемые в Политике
Для целей настоящей Политики применяются следующие термины и определения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки персональных данных Оператором, включая, но не ограничиваясь, могут быть:
¾ согласие субъекта персональных данных на обработку;
¾ необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных действующим законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
o Конституция Российской Федерации;
o Трудовой кодекс Российской Федерации;
o Налоговый кодекс Российской Федерации;
o Гражданский кодекс Российской Федерации;
o Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном
o страховании в Российской Федерации»;
o Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
o Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей»;
o Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
o Приказ Минздравсоцразвития России № 160 от 24.02.2005 «Об определении степени тяжести повреждения здоровья при несчастных случаях на производстве»;
o Приказ Минздравсоцразвития России № 275 от 15.04.2005 «О формах документов, необходимых для расследования несчастных случаев на производстве»;
o Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций»;
o Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан»;
o иные нормативные документы и законодательные акты Российской Федерации
¾ исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
5. Перечень субъектов, чьи персональные данные обрабатывают Оператор
5.1. Оператор обрабатывает ПДн следующих субъектов ПДн:
¾ соискатели вакантных должностей Оператора (далее – Соискатели);
¾ работники Оператора, с которыми заключены или были заключены трудовые договоры, в том числе те, с которыми трудовые договоры уже прекращены (далее – Работники);
¾ близкие родственники Работников Оператора – супруги, родители, лица, находящиеся на иждивении, бывшие супруги, которым выплачиваются алименты – (далее – Родственники работников);
¾ клиенты Оператора, в том числе потенциальные (далее – Клиенты);
¾ представители контрагентов Оператора - юридических лиц и индивидуальных предпринимателей (далее – Представители контрагентов);
¾ контрагенты Оператора – физические лица и индивидуальные предприниматели (далее – Контрагенты)
¾ физические лица, обратившиеся к Оператору (далее – Заявители);
¾ представители субъектов персональных данных, обращающиеся к Оператору по поручению и от имени субъектов персональных данных (далее – Представители субъектов);
¾ пользователи сайта Оператора (далее – Пользователи сайта).
5.2. Субъект персональных данных одновременно может относиться к нескольким категориям, указанным выше. Например, являться Клиентом и Пользователем сайта Оператора.
6. Принципы обработки персональных данных
6.1. При обработке персональных данных Оператор придерживается следующих принципов:
6.1.1. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
6.1.2. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
6.1.3. обработке подлежат только персональные данные, которые отвечают целями их обработки.
6.1.4. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
6.1.5. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
6.1.6. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. Категории обрабатываемых персональных данных
7.1. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных.
В случаях, предусмотренных законодательством, Оператор может обрабатывать персональные данные, относящиеся к специальной категории: сведения о состоянии здоровья и сведения о судимости.
8. Цели обработки персональных данных
8.1. Цели обработки персональных данных, а также категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований приведены в Приложении 1 к настоящей Политике.
9. Обработка персональных данных
9.1. При обработке персональных данных Оператор может осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, блокирование, удаление, уничтожение персональных данных.
9.2 Обработка персональных данных осуществляется следующими способами:
¾ неавтоматизированная обработка персональных данных;
¾ автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
¾ смешанная обработка персональных данных.
10. Особенности обработки персональных данных без использования средств автоматизации
10.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных.
10.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы между собой. При обработке персональных данных, предназначенных для различных целей, для каждой такой группы персональных данных должен использоваться отдельный материальный носитель.
10.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (их материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Документы, содержащие персональные данные, должны находиться в помещении, обеспечивающем защиту от несанкционированного доступа и располагаться в сейфах или запирающихся шкафах. Ответственность за реализацию указанных мер несет лицо, ответственное за организацию обработки персональных данных у Оператора.
10.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:
¾ о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;
¾ о категориях обрабатываемых персональных данных;
¾ об особенностях и правилах осуществления такой обработки.
10.5. В случае использования разработанных Оператором типовых форм документов, предполагающих включение в них персональных данных, должны соблюдаться следующие условия:
¾ типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
¾ типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
¾ типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных (например, в листах ознакомления работников с документами не должны содержаться иные сведения, кроме фамилии, имени, отчества, должности работника и наименования структурного подразделения при необходимости);
¾ типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
11. Передача и поручение обработки персональных данных
11.1. Передача персональных данных Оператором в адрес третьих лиц осуществляется при наличии согласий субъектов персональных данных или в иных случаях, установленных действующим законодательством Российской Федерации.
11.2. Оператор вправе поручить обработку персональных данных другим лицам с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемых с этими лицами договоров, предусматривающих обязанность указанных лиц соблюдать конфиденциальность полученных от Оператора персональных данных, а также выполнять требования к защите персональных данных в соответствии с действующим законодательством Российской Федерации. При поручении обработки персональных данных соблюдаются принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ.
11.3. Оператор не осуществляет трансграничную передачу персональных данных.
12. Защита персональных данных
12.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. При обработке персональных данных Оператор также руководствуется требованиями, определенными в следующих документах: Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановление Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказ ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и других нормативно-правовыми актами.
12.2. Обеспечение Оператором защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается, в частности, следующими принятыми мерами:
¾ назначение Оператором лица, ответственного за организацию обработки персональных данных;
¾ издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
¾ применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
¾ осуществление внутреннего контроля соответствия обработки персональных данных Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
¾ определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ;
¾ ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
¾ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
¾ осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
12.3. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.4. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.
12.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
¾ иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
¾ если иное не предусмотрено законодательством РФ.
12.6. Оператор в процессе своей деятельности обеспечивает конфиденциальность обрабатываемых персональных данных, в частности Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональные данные, если иное не предусмотрено действующим законодательством Российской Федерации.
13. Права субъекта персональных данных
13.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Оператора: уточнения, блокирования, уничтожения его в персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
13.2. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
13.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
13.4. Субъект персональных данных, чьи персональные данные обрабатываются Оператором, может получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующий запрос на адрес по месту нахождения Оператора или адрес электронной почты advance.20@yandex.ru.
14. Актуализация, исправление, удаление и уничтожение персональных данных. Порядок рассмотрения запросов субъектов персональных данных.
14.1. В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, Оператор сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
14.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
14.3. В рамках реализации требований Закона № 152-ФЗ, Оператор на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональные данные или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор персональных данных уничтожает такие персональные данные. При этом Оператор обязуется уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
14.4. В случае подтверждения факта неточности персональных данных, Оператор на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, обязуется уточнить персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
14.5. Оператор персональных данных также прекращает обработку персональных данных или обеспечивает прекращение обработки персональных данных лицом, действующим по его поручению:
¾ в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором персональных данных или лицом, действующим по его поручению, в срок, не превышающий 3 рабочих дней с даты этого выявления;
¾ в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператором, при отсутствии иных правовых оснований обработки персональных данных, в срок до 30 дней с даты получения отзыва;
¾ в случае получения от субъекта персональных данных требования о прекращении обработки персональных данных в срок 10 рабочих дней с момента получения требования при отсутствии иных правовых оснований обработки персональных данных. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
¾ в случае достижения цели обработки персональных данных в срок до 30 дней с даты достижения цели при отсутствии иных правовых оснований обработки персональных данных.
14.6. Уничтожение персональных данных в информационных системах проводится путем удаления записей баз данных, содержащих персональные данные, или стирания файлов с использованием программ (устройств) гарантированного уничтожения информации.
14.7. Уничтожение носителей информации на бумажной основе производится с применением бумагорезательных машин (шредеров).
14.8. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
15. Нарушение политики и ответственность
15.1. Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству.
15.2. Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все сотрудники Оператора, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных. Любой сотрудник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки персональных данных, в соответствии с существующими у Оператора процедурами.
Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими у Оператора процедурами. Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.
16. Заключительные положения
16.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.