УТВЕРЖДАЮ
Генеральный директор
ООО «Бизнес-Информация Консалтинг»
Макаров-Землянский А.Б.
«01» августа 2020 г.
Политика ООО «Бизнес-Информация Консалтинг»
в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ (далее – «Политика») определяет политику Общества с ограниченной ответственностью «Бизнес-Информация Консалтинг» (далее – «Оператор» или «Компания») в отношении обработки персональных данных.
1.2. Настоящая Политика содержит основные принципы, цели и способы обработки персональных данных, перечни субъектов персональных данных, состав обрабатываемых Оператором персональных данных, права субъектов персональных данных, реализуемые Оператором требования к защите персональных данных.
1.3. Настоящая Политика является общедоступным документом Компании и предусматривает возможность ознакомления с ней любых лиц.
1.4. Настоящая Политика разработана во исполнение требований п.2 ч.1 ст.18.1 Федерального закона от 27 июля 2006 N 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»).
1.5. Понятия, содержащиеся в ст.3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.
1.6. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.
1.7. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на сайте (сайтах) Компании (далее – «Сайт» и «Сайты»). Действующая редакция постоянно доступна на Сайте по адресу: https://bi-cons.ru/privacy-policy.html.
1.8. Оператор не контролирует и не несет ответственность за сайты третьих лиц, на которые субъект персональных данных может перейти по ссылкам, доступным на Сайте (Сайтах) Оператора. На сайтах третьих лиц может быть другая политика конфиденциальности и у субъекта персональных данных могут обрабатываться иные персональные данные и иными способами.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется Оператором с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат только персональные данные, которые отвечают целям их обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных.
3. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Основные права и обязанности Оператора.
3.1.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
3.1.2. Оператор обязан:
- обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
- рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
- предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
- организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.
3.2. Основные права и обязанности субъектов персональных данных:
3.2.1. Субъекты персональных данных имеют право:
- на полную информацию о своих персональных данных, обрабатываемых Оператором;
- на доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных Федеральным законом;
- на уточнение (обновление, изменение) своих персональных данных;
- на блокирование или уничтожение своих персональных данных в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- на отзыв согласия на обработку персональных данных;
- на принятие предусмотренных законом мер по защите своих прав;
- на осуществление иных прав, предусмотренных законодательством РФ.
3.2.2. Субъекты персональных данных обязаны:
- предоставлять Оператору только достоверные данные о себе.
3.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
3.4. В целях реализации положений Политики у Оператора могут разрабатываться соответствующие локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
- работники Компании, бывшие работники Компании, кандидаты для приема на работу в Компанию, а также в некоторых случаях родственники работников Компании;
- клиенты и контрагенты Компании (физические лица);
- представители/сотрудники/работники клиентов и контрагентов Компании (юридических лиц);
- посетители Сайта (Сайтов) Компании.
4.2. К персональным данным, обрабатываемым Оператором, относятся:
- фамилия, имя, отчество субъекта персональных данных;
- место проживания (регион/город);
- специальность/область профессиональных интересов;
- номер мобильного телефона;
- адрес электронной почты (e-mail);
- история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
- иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
4.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.4. Обработка биометрических персональных данных и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
4.5. Трансграничная передача персональных данных Оператором не осуществляется.
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Правовыми основаниями обработки персональных данных Оператором являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- уставные документы Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку персональных данных;
- иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
6. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные обрабатываются Оператором в следующих целях:
- заключение с субъектами персональных данных любых договоров и их дальнейшее исполнение;
- проведение Оператором акций, опросов, интервью, тестирований и исследований на Сайте (Сайтах);
- предоставление субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера;
- обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
- контроль и улучшение качества услуг и сервисов Компании, в том числе предложенных на Сайте (Сайтах);
- ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
- привлечение и отбор кандидатов на работу в Компанию;
- формирование статистической отчетности;
- осуществление хозяйственной деятельности;
- осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.
7. МЕРЫ, ПРИНИМАЕМЫЕ КОМПАНИЕЙ ДЛЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА, ОСУЩЕСТВЛЯЮЩЕГО ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор при осуществлении обработки персональных данных принимает необходимые и достаточные меры для обеспечения выполнения обязанностей Оператора при обработке персональных данных в соответствии со статьями 18.1. и 19 Закона о персональных данных.
7.2. Оператор принимает меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных несанкционированных действий в отношении персональных данных. К таким мерам, в частности, относятся:
- назначение Оператором ответственного лица за организацию обработки персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных и соответствующих процедур;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- организация пропускного режима в помещения Оператора, охрана помещений с техническими средствами обработки персональных данных, видеонаблюдение;
- ограничение и разграничение доступа работников Оператора к персональным данным и средствам их обработки;
- организация обучения и проведение методической работы с работниками Оператора, которые работают с персональными данными;
- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
- разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации, информационным системам, работающим с персональными данными;
- парольная защита доступа пользователей, регистрация и учет действий пользователей в информационных системах, работающих с персональными данными;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- использование антивирусных средств и средств восстановления данных, резервное копирование информации для возможности восстановления в информационных системах, работающих с персональными данными;
- применение средств межсетевого экранирования, обнаружения вторжений, анализа защищенности, выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
- другие меры, предусмотренные законодательством Российской Федерации в области защиты персональных данных.
8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных Оператором осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
8.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
8.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
8.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.
8.5. Согласие дается в любой форме, позволяющей подтвердить факт его получения. Согласие может быть выражено субъектом персональных данных в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в экранных и иных формах, бланках, направления Оператору электронных сообщений. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.
8.6. Как правило, субъект персональных данных выражает Согласие с настоящей Политикой и указанными в ней условиями обработки и передачи его персональных данных, заполняя экранную форму или форму обратной связи и нажимая опцию, выражающую согласие, расположенную на странице сайта, на которой размещена форма, а равно указывая свои персональные данные при использовании других сервисов Сайта. Согласие субъекта персональных данных на обработку его персональных данных Оператором в соответствии с настоящей Политикой является полным и безусловным. Посетителям Сайта следует воздержаться от заполнения форм и/или от использования других сервисов на сайте, в случае несогласия (полного или частичного) с Политикой, а равно несогласия предоставить персональные данные.
8.7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
8.8. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.
8.9. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.11. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся только на территории РФ.
9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.
9.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.
9.3. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
9.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных Согласия, персональные данные подлежат уничтожению, если:
- Оператор не вправе осуществлять обработку без Согласия субъекта персональных данных;
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.