Портфель заказов

Политика обработки персональных данных

I.     Общие положения

1.     Обработка персональных данных в ООО «М Групп» (далее – Общество) выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Обществе.

1.1. Основные понятия автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

2.     Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

3.     К субъектам персональных данных, персональные данные которых обрабатываются в Обществе, в соответствии с настоящей Политикой относятся:

1)    Работники и ближайшие их родственники;

2)    Уволенные работники;

3)    Лица, претендующие на замещение вакантных должностей (кандидаты);

4)    Лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых Обществом;

5)    Пользователи официального сайта Общества в информационно-телекоммуникационной сети «Интернет»;

6)    Иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных пунктом 6 настоящей Политики.

 

4.     Обработка персональных данных лиц, указанных в пункте 3 настоящей Политики, в соответствии со статьей 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») осуществляется на следующих правовых основаниях:

1)           Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2)           Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3)           Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

4)           Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

5)           Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

 

5.     Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

 

II. Цели, условия и порядок обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных

6.     Персональные данные субъектов персональных данных, указанных в подпунктах 1 - 6 пункта 3 настоящей Политики, обрабатываются в целях:

1)           Осуществления Обществом функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом ООО «М Групп»;

2)           Регулирования трудовых и иных непосредственно связанных с ними отношений с работниками;

3)           Подбор персонала для замещения вакантных должностей в Обществе, формирования кадрового резерва;

4)           Подготовки, заключения, исполнения и прекращения гражданско-правового договора, стороной которого является Общество;

5)           Защиты прав и законных интересов Общества в административном и судебном порядке;

6)           Рассмотрения обращений граждан Российской Федерации и иных физических лиц;

7)           Освещения деятельности Общества на сайтах Общества в информационно-телекоммуникационной сети «Интернет» и иных сервисах, в том числе общедоступных;

8)           Формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества.

 

7.     В целях, указанных в пункте 6 настоящей Политики, обрабатываются следующие категории персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики:

1)           Адрес места жительства;

2)           Адрес регистрации;

3)           Адрес электронной почты;

4)           Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;

5)           Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;

6)           Год рождения;

7)           Гражданство;

8)           Данные голоса человека;

9)           Данные документа, содержащиеся в свидетельстве о рождении;

10)       Дата рождения;

11)       Должность;

12)       ИНН;

13)       Информация о наличии ученой степени;

14)       Место рождения;

15)       Месяц рождения;

16)       Наличие ограничений в трудоспособности;

17)       Наличие членства в органах управления юридических лиц;

18)       Номер лицевого счета;

19)       Номер расчетного счета;

20)       Номер телефона или сведения о других способах связи;

21)       Отношение к воинской обязанности, сведения о воинском учете;

22)       Пол;

23)       Профессия;

24)       Реквизиты банковской карты;

25)       Реквизиты свидетельства о государственной регистрации актов гражданского состояния;

26)       Реквизиты страхового медицинского полиса обязательного медицинского страхования;

27)       Сведения о профессиональной переподготовке и (или) повышении квалификации;

28)       Сведения о прохождении гражданской службы, классном чине федеральной государственной гражданской службы и (или) гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатическом ранге, воинском и (или) специальном звании, классном чине правоохранительной службы, классном чине юстиции, а также сведения о том, кем и когда они присвоены;

29)       Сведения о семейном положении, составе семьи и о близких родственниках;

30)       Сведения о состоянии здоровья (больничные листы);

31)       Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

32)       Сведения об образовании;

33)       СНИЛС;

34)       Степень родства;

35)       Фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения);

36)       Фотоизображение лица;

37)       Иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных, указанным в пункте 6 настоящей Политики.

 

8.     Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики, осуществляется с их согласия в следующих случаях:

1)           При передаче персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации;

2)           При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

3)           При обработке персональных данных в дополнительных целях, отличных от первоначальных целей сбора, указанных в пункте 6 настоящей Политики.

 

9.     В случаях, предусмотренных пунктом 8 настоящей Политики, согласие субъектов персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

10.   Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 3, пункта 3 настоящей Политики, осуществляется кадровым подразделением Общества (либо третьим лицом по поручению Общества на основании заключенного договора на оказание услуг) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

11.   Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:

1)           Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Общества) (далее - оригиналы документов);

2)           Копирования оригиналов документов;

3)           Внесения сведений в учетные формы (на бумажных и электронных носителях);

4)           Формирования персональных данных в ходе кадровой работы;

5)           Внесения персональных данных в информационные системы персональных данных.

 

12.   Запрещается получать, обрабатывать и приобщать к личному делу субъектов персональных данных, указанных в подпунктах 1 - 3 пункта 3 настоящей Политики, персональные данные, не предусмотренные пунктом 7 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

13.   Персональные данные лиц, указанных в подпункте 4 пункта 3 настоящей Политики, обрабатываются в целях реализации полномочий и деятельности Общества, предусмотренной уставом Общества и не запрещенной законодательством Российской Федерации.

14.   В целях, указанных в пункте 13 настоящей Политики, обрабатываются следующие персональные данные лиц, указанных в подпункте 4 пункта 3 настоящей Политики:

1)           Адрес места жительства;

2)           Адрес регистрации;

3)           Адрес электронной почты;

4)           Год рождения;

5)           Данные документа, удостоверяющего личность;

6)           Дата рождения;

7)           Должность;

8)           ИНН;

9)           Место рождения;

10)       Месяц рождения;

11)       Номер лицевого счета;

12)       Номер расчетного счета;

13)       Номер телефона или сведения о других способах связи;

14)       Основной государственный регистрационный номер индивидуального предпринимателя;

15)       Фамилия, имя, отчество;

16)       Иные персональные данные, которые отвечают целям обработки персональных данных, указанным в пункте 13 настоящей Политики.

 

15.   Персональные данные лиц, указанных в подпункте 5 пункта 3 настоящей Политики, обрабатываются с целью организации доступа к информации о деятельности Общества, размещаемой в информационно-телекоммуникационной сети «Интернет», в том числе, но не ограничиваясь установлением обратной связи с пользователями сайта, включая отправку уведомлений и запросов, связанных с использованием сайта, оказанием услуг и обработки запросов и заявок пользователей, предоставлением эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта, обеспечением безопасной и устойчивой работы сайта, подтверждением действий, совершаемых пользователями сайта, предотвращением мошенничества, компьютерных атак и иных злоупотреблений и расследованием подобных случаев.

16.   В целях, указанных в пункте 15 настоящей Политики, обрабатываются следующие персональные данные лиц, указанных в подпункте 5 пункта 3 настоящей Политики:

1)           Фамилия, имя, отчество (при указании);

2)           Адрес электронной почты (при указании);

3)           Номер телефона (при указании);

4)           Запросы посетителя сайта, системную информацию, данные из браузера, файлы cookie, IP-адрес, установленная на устройстве пользователя операционная система, установленный на устройстве пользователя тип браузера, установленные и используемые на устройстве пользователя языки, тип устройства, используемого пользователем, географическое положение, количество посещений сайта и просмотров страниц, длительность пребывания на сайте, запросы, использованные пользователем при переходе на сайт, страницы, с которых были совершены переходы;

5)           Иные персональные данные, указанные в обращении, а также ставшие известными в ходе коммуникации или в процессе рассмотрения обращения.

 

III. Условия и порядок обработки персональных данных субъектов персональных данных в информационных системах

17.   Работникам Общества, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе, в соответствии с функциями, предусмотренными должностными и функциональными инструкциями.

18.   Информация вносится как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

19.   Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

20.   Доступ к персональным данным, находящимся в информационных системах персональных данных Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

21.   Обмен персональными данными при их обработке в информационных системах персональных данных Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».

22.   В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Общества уполномоченными должностными лицами Общества принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

 

IV. Сроки обработки и хранения персональных данных. Порядок уничтожения персональных данных

23.   Сроки хранения персональных данных в Обществе определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

24.   Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

25.   Персональные данные подлежат уничтожению в следующих случаях:

1)           При достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;

2)           При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

3)           При выявлении факта неправомерной обработки персональных данных;

4)           При отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом «О персональных данных».

 

26.   В целях удаления и уничтожения персональных данных в Обществе, на основании приказа, определяется состав комиссии с обязательным включением лица, ответственного за обработку документов, планируемых к удалению и (или) уничтожению (по направлению деятельности, в пределах установленных полномочий). Определяется перечень и формируется список документов, подлежащих удалению и (или) уничтожению, согласно установленных действующими нормативными правовыми актами сроков.

27.   Уничтожение персональных данных по окончании срока их обработки на материальных носителях производится путем: разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья.

28.   Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.


V. Рассмотрение запросов субъектов персональных данных или их представителей

29.   Лица, указанные в пункте 3 настоящей Политики, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1)       Подтверждение факта обработки персональных данных Обществом;

2)       Правовые основания и цели обработки персональных данных;

3)       Цели и применяемые Обществом способы обработки персональных данных;

4)       Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

5)       Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6)       Сроки обработки персональных данных, в том числе сроки их хранения;

7)       Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8)       Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9)       Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

9.1) Информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»

10)       Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

 

30.   Лица, указанные в пункте 3 настоящей Политики, вправе требовать от Общества уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

31.   Сведения, указанные в пункте 29 настоящей Политики, должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

32.   Сведения, указанные в пункте 29 настоящей Политики, предоставляются субъекту персональных данных или его представителю Обществом, в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать:

1)           Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

2)           Сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;

3)           Подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

 

33.        Общество предоставляет сведения, указанные в пункте 29 настоящей Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

34.        В случае если сведения, указанные в пункте 29 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

35.        Субъект персональных данных вправе обратиться повторно в Общество или направить ему повторный запрос в целях получения сведений, указанных в пункте 29 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 34 настоящей Политики, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 32 настоящей Политики, должен содержать обоснование направления повторного запроса.

 

VI. Заключительные положения

36.        Настоящая Политика является общедоступным документом.

37.   Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации и локальными нормативными актами Оператора.