ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ВВОДНЫЕ ПОЛОЖЕНИЯ
1.1. ВВЕДЕНИЕ
Политика в отношении обработки персональных данных в ООО «АВА ГРУПП» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. ЦЕЛИ
Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в ООО «АВА ГРУПП» (далее – Общество, Компания).
1.3. ЗАДАЧИ
Задачи Политики:
- защита прав субъектов данных и гарантия того, что обработка персональных данных осуществляется в рамках законных и этичных норм;
- формулирование четких оснований, на которых осуществляется обработка персональных данных (например: согласие, исполнение контракта, законные интересы и т.д.);
- обеспечение процесса получения и документирования согласия субъектов данных на обработку их персональной информации, где это необходимо;
- информирование субъектов данных о том, какие данные собираются, для каких целей, как и кем они будут обрабатываться, и какие права они имеют в отношении своих данных;
- установление мер по защите персональных данных от несанкционированного доступа, потери, утечки или уничтожения, включая технические и организационные меры безопасности;
- обработка только тех данных, которые необходимы для достижения конкретных целей, и исключение избыточной информации;
- определение сроков хранения персональных данных и условий их удаления или анонимизации по истечении необходимых сроков;
- создание механизмов для реализации прав субъектов данных на доступ к своим данным, исправление, удаление, переносимость и ограничение обработки;
- установление четких процедур и ролей для управления доступом к персональным данным внутри Общества, чтобы гарантировать, что только уполномоченные лица могут работать с такой информацией;
- реализация регулярного обучения и повышения осведомленности среди сотрудников по вопросам обработки персональных данных и соблюдение установленных норм и практик;
- проведение регулярной оценки рисков, связанной с обработкой персональных данных, и разработка мер по их минимизации;
- создание и поддержка документов, подтверждающих соблюдение политики по обработке персональных данных, включая отчеты о проведенных оценках и инцидентах;
- установка процесса для сбора обратной связи и пересмотра политики и процедур с целью их регулярного улучшения и адаптации к изменениям законодательства и практик.
1.4. ОБЛАСТЬ ДЕЙСТВИЯ
Действие Политики распространяется на всех работников Компании, осуществляющие обработку персональных данных или имеющими к ним доступ, а также на все отношения, связанные с обработкой персональных данных, осуществляемой Обществом:
- с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
- без использования средств автоматизации.
Работники Общества должны быть ознакомлены с Политикой через систему «1С: Документооборот» (далее - 1С: ДО).
Нарушение действующего законодательства вследствие неисполнения Политики работниками Общества, влечет за собой ответственность в соответствии с законодательством Российской Федерации.
1.5. ПЕРИОД ДЕЙСТВИЯ И ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ
Политика является локальным нормативным актом постоянного действия.
Политика утверждается изменяется, отменяется и вводится в действие приказом генерального директора Компании.
Ответственность за поддержание Политики в актуальном состоянии возлагается на отдел информационной безопасности Департамента безопасности Общества.
Пересмотр Политики происходит в случае внесения изменений в действующее законодательство РФ в отношении обработки персональных данных, а также в связи с изменением структуры, условий и сферы деятельности Общества. Инициатором внесения изменений в Политику выступает любое структурное подразделение Компании.
Если в результате изменений действующего законодательства отдельные нормы Политики будут противоречить вступившим в силу изменениям, такие нормы Политики утрачивают силу.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – обработка персональных данных с помощью средств вычислительной техники.
БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
ВЫМАРЫВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – это процесс удаления или скрытия персональных данных на материальном носителе, делающий невозможным их дальнейшее восстановление и обработку. Это одна из форм обработки персональных данных, которая применяется для обеспечения конфиденциальности и защиты информации.
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
ОПЕРАТОР – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иных неправомерных действий при их обработке в информационной системе персональных данных.
УРОВЕНЬ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
САЙТ – сайт Общества, доступный по доменному имени https://avagroup.ru.
COOKIES – небольшие по размеру текстовые файлы, отправленные веб-сервером сайта и хранимые на устройствах посетителя сайта.
3. ОБЩИЕ ПОЛОЖЕНИЯ
3.1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Обществом в следующих целях:
- выполнение требований трудового законодательства Российской Федерации; ведение бухгалтерского, кадрового и воинского учета; оформление договорных отношений в соответствии с законодательством Российской Федерации (осуществление гражданско-правовых отношений); осуществление расчета заработной платы и иных выплат;
- предоставление льгот; осуществление социальных выплат и других видов социальной помощи и гарантий; предоставление компенсаций, пособий, доп. выходных дней и отпусков;
- выполнение договорных обязательств;
- предоставление посетителю сайта информации об организации и оказываемых услугах;
- подбор персонала (соискателей) на вакантные должности оператора;
- рассмотрение обращений граждан, подготовка ответов на обращения.
3.2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Основанием обработки персональных данных в Компании являются следующие нормативные акты и документы:
- Устав Общества, утвержденный протоколом от 08.11.2024 № 1;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Обработка персональных данных прекращается при ликвидации или прекращении деятельности Общества в результате реорганизации.
3.3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Сведения о категориях субъектов, персональные данные которых обрабатываются Обществом, категориях и перечне обрабатываемых персональных данных, способах, сроках их обработки и хранения представлены в Приложении к Политике.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Обществом в соответствии со следующими принципами:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащие персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и аккуратность по отношению к целям обработки персональных данных; Холдинг принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Условия обработки специальных категорий персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Обществом не производится.
Условия обработки биометрических персональных данных. Обработка биометрических персональных данных Обществом не производится.
Условия обработки иных категорий персональных данных. Обработка иных категорий персональных данных осуществляется Обществом с соблюдением следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка персональных данных осуществляется с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4.3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМАЯ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
Общие положения. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
4.4. ОБРАБОТКА МЕТРИЧЕСКИХ ДАННЫХ
На сайте Общества применяются следующие инструменты веб-аналитики: Яндекс.Метрика, Smartis, Comagic. Инструменты веб-аналитики применяются в целях анализа использования сайтов Общества и улучшения его работы.
Обработка файлов cookie осуществляется в обобщенном виде и никогда не соотносится с личными сведениями Пользователей.
На сайте https://avagroup.ru отображается предупреждение, информирующее пользователей об обработке метрических данных.
При посещении сайта https://avagroup.ru пользователь дает согласие Обществу на обработку указанных данных с использованием метрических сервисов для анализа использования, измерения и повышения уровня производительности сайта Компании. Согласие действует с момента его предоставления и в течение всего периода использования сайта Пользователем.
На совокупности различных веб-проектов Общества (при просмотре сайта) происходит автоматический сбор (из cookies) следующих обезличенных статистических данных о посетителях:
- IP адрес;
- сведения о пользовательском устройстве и используемом браузере;
- сведения о взаимодействии с сайтом и сервисами Оператора (источник перехода на сайт, просматриваемые страницы, взаимодействие с объектами и страницами, параметры сессии, данные о времени посещения и пр.);
- файлы cookie.
Посетители сайта могут самостоятельно управлять файлами cookies путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы cookies будут заблокированы, могут привести к недоступности отдельных компонентов сайта.
В случае отказа от обработки файлов cookie Пользователю необходимо прекратить использование сайта Общества или отключить использование файлов cookie в настройках браузера, при этом некоторые функции сайта Компании могут стать недоступны.
5. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ВОПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЯЗАННОСТИ ОПЕРАТОРА
5.1. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Обществом в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Обществом в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6. ОБЯЗАННОСТИ ОБЩЕСТВА
Обязанности Общества при сборе персональных данных. При сборе персональных данных Общества предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Если персональные данные получены не от субъекта персональных данных, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес Общества или представителя Общества;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установление Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных;
- источник получения персональных данных.
7. СФЕРЫ ОТВЕТСТВЕННОСТИ
Лица, ответственные за организацию обработки персональных данных в организациях. Общество назначает лицо, ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
Общество предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.
Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:
- осуществляет внутренний контроль за соблюдением Обществом и работниками Компании законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
Ответственность. Лица, виновные в нарушении требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
8. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
При достижении целей ожидаются следующие результаты:
- обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Обществом;
- повышение общего уровня информационной безопасности Общества;
- минимизация юридических рисков Общества.
9. ПРИЛОЖЕНИЕ К ПОЛИТИКЕ
СВЕДЕНИЯ о персональных данных, обрабатываемых в Обществе
Перечень обрабатываемых ПДн*
Работники, уволенные работники:
- фамилия, имя, отчество;
- год рождения, месяц рождения, дата рождения, место рождения;
- пол;
- семейное положение;
- доходы;
- адрес электронной почты;
- адрес места жительства;
- адрес регистрации;
- номер телефона;
- СНИЛС;
- ИНН;
- гражданство;
- данные документа, удостоверяющего личность;
- данные водительского удостоверения;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- данные документа, содержащиеся в свидетельстве о рождении;
- реквизиты банковской карты;
- номер расчетного счета;
- номер лицевого счета;
- профессия;
- должность;
- сведения об образовании;
- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
- отношение к воинской обязанности, сведения о воинском учете;
- фото-видео изображение лица.
*ПДн – персональные данные