I. Общие положения
1. Обработка персональных данных в ООО «М Групп» (далее – Общество) выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Обществе.
1.1. Основные понятия автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
3. К субъектам персональных данных, персональные данные которых обрабатываются в Обществе, в соответствии с настоящей Политикой относятся:
1) Работники и ближайшие их родственники;
2) Уволенные работники;
3) Лица, претендующие на замещение вакантных должностей (кандидаты);
4) Лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых Обществом;
5) Пользователи официального сайта Общества в информационно-телекоммуникационной сети «Интернет»;
6) Иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных пунктом 6 настоящей Политики.
4. Обработка персональных данных лиц, указанных в пункте 3 настоящей Политики, в соответствии со статьей 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») осуществляется на следующих правовых основаниях:
1) Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5) Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
5. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
II. Цели, условия и порядок обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных
6. Персональные данные субъектов персональных данных, указанных в подпунктах 1 - 6 пункта 3 настоящей Политики, обрабатываются в целях:
1) Осуществления Обществом функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом ООО «М Групп»;
2) Регулирования трудовых и иных непосредственно связанных с ними отношений с работниками;
3) Подбор персонала для замещения вакантных должностей в Обществе, формирования кадрового резерва;
4) Подготовки, заключения, исполнения и прекращения гражданско-правового договора, стороной которого является Общество;
5) Защиты прав и законных интересов Общества в административном и судебном порядке;
6) Рассмотрения обращений граждан Российской Федерации и иных физических лиц;
7) Освещения деятельности Общества на сайтах Общества в информационно-телекоммуникационной сети «Интернет» и иных сервисах, в том числе общедоступных;
8) Формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества.
7. В целях, указанных в пункте 6 настоящей Политики, обрабатываются следующие категории персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики:
1) Адрес места жительства;
2) Адрес регистрации;
3) Адрес электронной почты;
4) Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;
5) Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
6) Год рождения;
7) Гражданство;
8) Данные голоса человека;
9) Данные документа, содержащиеся в свидетельстве о рождении;
10) Дата рождения;
11) Должность;
12) ИНН;
13) Информация о наличии ученой степени;
14) Место рождения;
15) Месяц рождения;
16) Наличие ограничений в трудоспособности;
17) Наличие членства в органах управления юридических лиц;
18) Номер лицевого счета;
19) Номер расчетного счета;
20) Номер телефона или сведения о других способах связи;
21) Отношение к воинской обязанности, сведения о воинском учете;
22) Пол;
23) Профессия;
24) Реквизиты банковской карты;
25) Реквизиты свидетельства о государственной регистрации актов гражданского состояния;
26) Реквизиты страхового медицинского полиса обязательного медицинского страхования;
27) Сведения о профессиональной переподготовке и (или) повышении квалификации;
28) Сведения о прохождении гражданской службы, классном чине федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине правоохранительной службы, классном чине юстиции, а также сведения о том, кем и когда они присвоены;
29) Сведения о семейном положении, составе семьи и о близких родственниках;
30) Сведения о состоянии здоровья (больничные листы);
31) Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
32) Сведения об образовании;
33) СНИЛС;
34) Степень родства;
35) Фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения);
36) Фотоизображение лица;
37) Иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных, указанным в пункте 6 настоящей Политики.
8. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики, осуществляется с их согласия в следующих случаях:
1) При передаче персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации;
2) При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
3) При обработке персональных данных в дополнительных целях, отличных от первоначальных целей сбора, указанных в пункте 6 настоящей Политики.
9. В случаях, предусмотренных пунктом 8 настоящей Политики, согласие субъектов персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
10. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3, пункта 3 настоящей Политики, осуществляется кадровым подразделением Общества (либо третьим лицом по поручению Общества на основании заключенного договора на оказание услуг) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
1) Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Общества) (далее - оригиналы документов);
2) Копирования оригиналов документов;
3) Внесения сведений в учетные формы (на бумажных и электронных носителях);
4) Формирования персональных данных в ходе кадровой работы;
5) Внесения персональных данных в информационные системы персональных данных.
12. Запрещается получать, обрабатывать и приобщать к личному делу субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики, персональные данные, не предусмотренные пунктом 7 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
13. Персональные данные лиц, указанных в подпункте 4 пункта 3 настоящей Политики, обрабатываются в целях реализации полномочий и деятельности Общества, предусмотренной уставом Общества и не запрещенной законодательством Российской Федерации.
14. В целях, указанных в пункте 13 настоящей Политики, обрабатываются следующие персональные данные лиц, указанных в подпункте 4 пункта 3 настоящей Политики:
1) Адрес места жительства;
2) Адрес регистрации;
3) Адрес электронной почты;
4) Год рождения;
5) Данные документа, удостоверяющего личность;
6) Дата рождения;
7) Должность;
8) ИНН;
9) Место рождения;
10) Месяц рождения;
11) Номер лицевого счета;
12) Номер расчетного счета;
13) Номер телефона или сведения о других способах связи;
14) Основной государственный регистрационный номер индивидуального предпринимателя;
15) Фамилия, имя, отчество;
16) Иные персональные данные, которые отвечают целям обработки персональных данных, указанным в пункте 13 настоящей Политики.
15. Персональные данные лиц, указанных в подпункте 5 пункта 3 настоящей Политики, обрабатываются с целью организации доступа к информации о деятельности Общества, размещаемой в информационно-телекоммуникационной сети «Интернет», в том числе, но не ограничиваясь установлением обратной связи с пользователями сайта, включая отправку уведомлений и запросов, связанных с использованием сайта, оказанием услуг и обработки запросов и заявок пользователей, предоставлением эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта, обеспечением безопасной и устойчивой работы сайта, подтверждением действий, совершаемых пользователями сайта, предотвращением мошенничества, компьютерных атак и иных злоупотреблений и расследованием подобных случаев.
16. В целях, указанных в пункте 15 настоящей Политики, обрабатываются следующие персональные данные лиц, указанных в подпункте 5 пункта 3 настоящей Политики:
1) Фамилия, имя, отчество (при указании);
2) Адрес электронной почты (при указании);
3) Номер телефона (при указании);
4) Запросы посетителя сайта, системную информацию, данные из браузера, файлы cookie, IP-адрес, установленная на устройстве пользователя операционная система, установленный на устройстве пользователя тип браузера, установленные и используемые на устройстве пользователя языки, тип устройства, используемого пользователем, географическое положение, количество посещений сайта и просмотров страниц, длительность пребывания на сайте, запросы, использованные пользователем при переходе на сайт, страницы, с которых были совершены переходы;
5) Иные персональные данные, указанные в обращении, а также ставшие известными в ходе коммуникации или в процессе рассмотрения обращения.
III. Условия и порядок обработки персональных данных субъектов персональных данных в информационных системах
17. Работникам Общества, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе, в соответствии с функциями, предусмотренными должностными и функциональными инструкциями.
18. Информация вносится как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
19. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
20. Доступ к персональным данным, находящимся в информационных системах персональных данных Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
21. Обмен персональными данными при их обработке в информационных системах персональных данных Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
22. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Общества уполномоченными должностными лицами Общества принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.
IV. Сроки обработки и хранения персональных данных. Порядок уничтожения персональных данных
23. Сроки хранения персональных данных в Обществе определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
24. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
25. Персональные данные подлежат уничтожению в следующих случаях:
1) При достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
2) При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
3) При выявлении факта неправомерной обработки персональных данных;
4) При отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом «О персональных данных».
26. В целях удаления и уничтожения персональных данных в Обществе, на основании приказа, определяется состав комиссии с обязательным включением лица, ответственного за обработку документов, планируемых к удалению и (или) уничтожению (по направлению деятельности, в пределах установленных полномочий). Определяется перечень и формируется список документов, подлежащих удалению и (или) уничтожению, согласно установленных действующими нормативными правовыми актами сроков.
27. Уничтожение персональных данных по окончании срока их обработки на материальных носителях производится путем: разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья.
28. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
V. Рассмотрение запросов субъектов персональных данных или их представителей
29. Лица, указанные в пункте 3 настоящей Политики, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) Подтверждение факта обработки персональных данных Обществом;
2) Правовые основания и цели обработки персональных данных;
3) Цели и применяемые Обществом способы обработки персональных данных;
4) Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
5) Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) Сроки обработки персональных данных, в том числе сроки их хранения;
7) Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) Информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»
10) Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
30. Лица, указанные в пункте 3 настоящей Политики, вправе требовать от Общества уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
31. Сведения, указанные в пункте 29 настоящей Политики, должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
32. Сведения, указанные в пункте 29 настоящей Политики, предоставляются субъекту персональных данных или его представителю Обществом, в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать:
1) Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) Сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
3) Подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
33. Общество предоставляет сведения, указанные в пункте 29 настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
34. В случае если сведения, указанные в пункте 29 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
35. Субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных в пункте 29 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 34 настоящей Политики, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 32 настоящей Политики, должен содержать обоснование направления повторного запроса.
VI. Заключительные положения
36. Настоящая Политика является общедоступным документом.
37. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации и локальными нормативными актами Оператора.