Политика по обработке персональных данных
УТВЕРЖДЕНА
приказом ООО «ХИМЗАЩИТА»
«Об обработке и защите персональных данных ООО «ХИМЗАЩИТА»
от 07 апреля 2026 г. № 6
ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «ХИМЗАЩИТА»
1.1. Настоящая Политика по обработке персональных данных Общества с ограниченной ответственностью «ХИМЗАЩИТА» (ООО ХИМЗАЩИТА») разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
1.2. Политика по обработке персональных данных ООО «ХИМЗАЩИТА» (далее соответственно – Политика, Общество и Оператор) определяет основные цели, условия и способы обработки персональных данных, категории субъектов и состав обрабатываемых в Обществе персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
2. Основные понятия
Для целей настоящей Политики используются следующие основные понятия:
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного представителя.
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате которых становится возможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информация – сведения (сообщения, данные) независимо от формы их предоставления.
2.11. Цель обработки персональных данных – конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований законодательства и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.
3. Принципы обработки персональных данных. Перечень действий с персональными данными и способы их обработки
3.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных субъектов персональных данных с учетом необходимости обеспечения защиты прав и свобод человека, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется в Обществе на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры по удалению или уничтожению неполных или неточных персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
3.3. Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств.
4. Субъекты и состав персональных данных, обрабатываемых Обществом
4.1. Субъектами персональных данных, обработка которых осуществляется Обществом, являются:
- кандидаты на вакантные должности;
- работники и бывшие работники;
- клиенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, взаимодействие с которыми осуществляется в рамках преддоговорной работы с целью последующего заключения договоров с Обществом);
- контрагенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, являющиеся контрагентами или третьими лицами, привлекаемыми контрагентами, в соответствии с заключенными с Обществом договорами);
- посетители офиса Общества;
- посетители сайта Общества, пользователи социальных сетей Общества.
4.2. Целью обработки персональных данных кандидатов на вакантные должности является рассмотрение вопроса о приеме на работу в Общество, заключение трудового договора.
4.2.1. В целях, указанных в п. 4.2. настоящей Политики, обрабатываются следующие категории персональных данных граждан, претендующих на вакантные должности:
- фамилия, имя, отчество (последнее – при наличии) (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- пол;
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о профессиональной переподготовке и (или) повышении квалификации (наименование и год окончания образовательного учреждения);
- наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании и пр.;
- информация о владении иностранными языками, степень владения;
- медицинское заключение по установленной форме о результатах обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний (если в соответствии с действующим законодательством указанные осмотры обязательны);
- фотография;
- информация о наличии или отсутствии судимости и дисквалификации граждан, претендующих на замещение вакантных должностей (руководитель, главный бухгалтер);
- информация о приеме на работу, переводах на другую работу и перемещениях, об увольнениях;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы, отпусках по беременности и родам, отпусках по уходу за ребенком;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 4.2 настоящей Политики, в том числе, иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письма.
4.3. Целью обработки персональных данных работников и бывших работников Общества является исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, раскрытие необходимой в соответствии с нормативными правовыми актами информации, обучение, обеспечение различного вида гарантиями, компенсациями и льготами, применение предусмотренных законодательством мер ответственности за нарушение трудовых обязанностей, исполнение Обществом требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, социального страхования, заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами.
4.3.1. В целях, указанных в п. 4.3 настоящей Политики, обрабатываются следующие категории персональных данных работников Общества:
- фамилия, имя, отчество (последнее – при наличии) (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- пол;
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса обязательного медицинского страхования;
- реквизиты свидетельств государственной регистрации актов гражданского состояния;
- семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
-сведения об удержании алиментов;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о профессиональной переподготовке и (или) повышении квалификации (наименование и год окончания образовательного учреждения);
- наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании и пр.;
- информация о владении иностранными языками, степень владения;
- медицинское заключение по установленной форме о результатах обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний (если в соответствии с действующим законодательством указанные осмотры обязательны);
- фотография;
- сведения о последнем месте службы бывших государственных и муниципальных служащих в течение двух лет после увольнения с государственной или муниципальной службы;
- информация, содержащаяся в трудовом договоре и дополнительных соглашениях к трудовому договору;
- информация о наличии или отсутствии судимости и дисквалификации граждан, претендующих на замещение вакантных должностей (руководитель, главный бухгалтер);
- информация о приеме на работу, переводах на другую работу и перемещениях, об увольнениях;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы, отпусках по беременности и родам, отпусках по уходу за ребенком;
- сведения о доходах и обязательствах имущественного характера, в том числе, сведения о доходе с предыдущего места работы;
- номер лицевого/ расчетного счета;
-иные персональные данные, необходимые для достижения целей, предусмотренных п. 4.3 настоящей Политики. Иные персональные данные могут быть предусмотрены согласием на обработку персональных данных.
4.3.1.1. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
-фамилия, имя, отчество;
-степень родства;
-год рождения;
-иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.4. Целью обработки персональных данных клиентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является ведение преддоговорной работы, осуществление процедуры выбора контрагентов в целях последующего заключения с ними договоров.
4.4.1. В рамках ведения работы Общества, указанной в п. 4.4 Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- номер расчетного счета;
- регистрация лица в качестве индивидуального предпринимателя, постановка на учет в налоговом органе, пенсионном фонде, фонде социального страхования.
4.4.2. При заключении договора может возникнуть необходимость в предоставлении клиентом иных документов, содержащих информацию о нем.
4.5. Целью обработки персональных данных контрагентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является заключение и исполнение гражданско-правовых договоров в соответствии с Гражданским кодексом Российской Федерации, иными нормативными правовыми актами.
4.5.1. В рамках процесса заключения и исполнения договоров Обществом подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- номер расчетного счета;
- регистрация лица в качестве индивидуального предпринимателя, постановка на учет в налоговом органе, пенсионном фонде, фонде социального страхования.
4.5.2. При заключении договора, так и в ходе исполнения договора, может возникнуть необходимость в предоставлении контрагентом иных документов, содержащих информацию о нем.
4.6. Целью обработки персональных данных посетителей офиса Общества, является соблюдение пропускного и внутриобъектового режима в целях обеспечения безопасности проведения деловых встреч и переговоров в офисе Общества.
4.6.1. В рамках выполнения Обществом п. 4.6. Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания).
4.6.2. Предоставляя добровольно доступ к данной информации, субъекты, указанные в п. 4.6. Политики, дают согласие на их обработку.
4.7. Целью обработки персональных данных посетителей сайта Общества, пользователей социальных сетей Общества является повышение осведомленности посетителей сайта и социальных сетей о продуктах и услугах, предоставляемых Обществом, осуществление деятельности по продвижению товаров и услуг; регистрация пользователей на сайте, обработка заказов, оформленных при помощи информационно телекоммуникационной сети Интернет; осуществление Обществом клиентской поддержки; проведения исследований с целью повышения качества продуктов и услуг.
4.7.1. В рамках выполнения Обществом п. 4.7. Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- номера контактных телефонов;
- адреса электронной почты;
- пользовательские данные (данные о пользовательском устройстве, пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео; данные, характеризующие аудиторные сегменты; параметры сессии; данные о времени посещения; идентификатор пользователя, хранимый в cookie; условия заказа в случае его оформления).
4.7.2. Предоставляя добровольно доступ к данной информации, субъекты, указанные в п. 4.7. Политики, дают согласие на их обработку.
4.7.3. Согласие посетителей сайта, пользователей социальных сетей может быть уточнено в части персональных данных или отозвано путем направления сообщения по адресу электронной почты Оператора.
5. Права субъектов персональных данных
5.1. Оператор имеет право:
5.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
5.1.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
5.2. Оператор обязан:
5.2.1. Организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных.
5.2.2. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
5.2.3. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
5.2.4. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
5.3. Субъект персональных данных имеет право:
5.3.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных.
5.3.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3.3. Дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
5.3.4. Обжаловать в установленном законом порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
6. Сбор и обработка персональных данных
6.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
6.3. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование либо фамилию, имя, отчество (при наличии) и адрес Оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись субъекта персональных данных.
6.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
6.5. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
6.6. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
6.7. Субъекты персональных данных до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящей Политикой.
6.8. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
6.9. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
6.10. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.11. Обработка персональных данных для каждой цели обработки, указанной в п. 4 Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
6.12. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
6.13. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
6.13.1. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденный приказом Росархива от 20.12.2019 № 236).
6.13.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.14. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
6.15. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.16. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.17. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.
7. Передача и хранение персональных данных
7.1. При передаче персональных данных субъектов персональных данных Оператор должен соблюдать следующие требования:
7.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.
7.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
7.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.
7.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных и иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8. Защита персональных данных
8.1. Защите подлежат:
- документы (материальные носители), содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
8.2. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается Обществом в порядке, установленном законодательством Российской Федерации.
8.3. Общество принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19 Закона о персональных данных.
8.4. Ответственные лица Общества, хранящие персональные данные на бумажных и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 № 687.
8.5. Общество обеспечивает выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
8.6. Для защиты персональных данных Обществом обеспечивается соблюдение следующих мер:
8.6.1. Внутренняя защита:
- ограничение и регламентация состава работников, ответственных и допущенных к обработке персональных данных в Обществе;
- принятие локальных нормативных актов, регулирующих отношения в сфере обработки и защиты персональных данных;
- работники Общества, непосредственно осуществляющие обработку персональных данных, ознакомлены с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
- наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
- обеспечение защиты от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах), защиты паролем компьютеров с персональными данными, использование системы паролей при работе в сети;
- организация порядка уничтожения персональных данных;
- воспитательная и разъяснительная работа с работниками Общества по предупреждению утраты ценных сведений при работе с документами, содержащими персональные данные;
- обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- персональные данные работников, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных работников в электронном виде вне применяемых работодателем информационных систем и специально обозначенных работодателем баз данных (внесистемное хранение персональных данных) не допускается.
8.6.2. Внешняя защита:
- неконтролируемое проникновение или пребывание посторонних лиц в помещение, где ведется обработка персональных данных, исключено.
8.6.3. Защита персональных данных на электронных носителях. Защита компьютеров с персональными данными паролем, использование системы паролей при работе в сети.
9. Обновление, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
9.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
9.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
9.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.9. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9.10. Порядок уничтожения персональных данных Оператором.
9.10.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
9.10.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
9.10.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора Общества.
9.10.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
10.1. Ответственность лиц, виновных в нарушении требований законодательства Российской Федерации, определяется в соответствии с законодательством Российской Федерации.
приказом ООО «ХИМЗАЩИТА»
«Об обработке и защите персональных данных ООО «ХИМЗАЩИТА»
от 07 апреля 2026 г. № 6
ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «ХИМЗАЩИТА»
1.1. Настоящая Политика по обработке персональных данных Общества с ограниченной ответственностью «ХИМЗАЩИТА» (ООО ХИМЗАЩИТА») разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
1.2. Политика по обработке персональных данных ООО «ХИМЗАЩИТА» (далее соответственно – Политика, Общество и Оператор) определяет основные цели, условия и способы обработки персональных данных, категории субъектов и состав обрабатываемых в Обществе персональных данных, права субъектов персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
2. Основные понятия
Для целей настоящей Политики используются следующие основные понятия:
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного представителя.
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных – действия, в результате которых становится возможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информация – сведения (сообщения, данные) независимо от формы их предоставления.
2.11. Цель обработки персональных данных – конкретный конечный результат действий, совершенных с персональными данными, вытекающий из требований законодательства и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.
3. Принципы обработки персональных данных. Перечень действий с персональными данными и способы их обработки
3.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных субъектов персональных данных с учетом необходимости обеспечения защиты прав и свобод человека, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется в Обществе на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры по удалению или уничтожению неполных или неточных персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
3.3. Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств.
4. Субъекты и состав персональных данных, обрабатываемых Обществом
4.1. Субъектами персональных данных, обработка которых осуществляется Обществом, являются:
- кандидаты на вакантные должности;
- работники и бывшие работники;
- клиенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, взаимодействие с которыми осуществляется в рамках преддоговорной работы с целью последующего заключения договоров с Обществом);
- контрагенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, являющиеся контрагентами или третьими лицами, привлекаемыми контрагентами, в соответствии с заключенными с Обществом договорами);
- посетители офиса Общества;
- посетители сайта Общества, пользователи социальных сетей Общества.
4.2. Целью обработки персональных данных кандидатов на вакантные должности является рассмотрение вопроса о приеме на работу в Общество, заключение трудового договора.
4.2.1. В целях, указанных в п. 4.2. настоящей Политики, обрабатываются следующие категории персональных данных граждан, претендующих на вакантные должности:
- фамилия, имя, отчество (последнее – при наличии) (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- пол;
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о профессиональной переподготовке и (или) повышении квалификации (наименование и год окончания образовательного учреждения);
- наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании и пр.;
- информация о владении иностранными языками, степень владения;
- медицинское заключение по установленной форме о результатах обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний (если в соответствии с действующим законодательством указанные осмотры обязательны);
- фотография;
- информация о наличии или отсутствии судимости и дисквалификации граждан, претендующих на замещение вакантных должностей (руководитель, главный бухгалтер);
- информация о приеме на работу, переводах на другую работу и перемещениях, об увольнениях;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы, отпусках по беременности и родам, отпусках по уходу за ребенком;
- иные персональные данные, необходимые для достижения целей, предусмотренных п. 4.2 настоящей Политики, в том числе, иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письма.
4.3. Целью обработки персональных данных работников и бывших работников Общества является исполнение обязательств по трудовым договорам, ведение кадрового делопроизводства, раскрытие необходимой в соответствии с нормативными правовыми актами информации, обучение, обеспечение различного вида гарантиями, компенсациями и льготами, применение предусмотренных законодательством мер ответственности за нарушение трудовых обязанностей, исполнение Обществом требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, социального страхования, заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами.
4.3.1. В целях, указанных в п. 4.3 настоящей Политики, обрабатываются следующие категории персональных данных работников Общества:
- фамилия, имя, отчество (последнее – при наличии) (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- пол;
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- реквизиты страхового медицинского полиса обязательного медицинского страхования;
- реквизиты свидетельств государственной регистрации актов гражданского состояния;
- семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
-сведения об удержании алиментов;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о профессиональной переподготовке и (или) повышении квалификации (наименование и год окончания образовательного учреждения);
- наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании и пр.;
- информация о владении иностранными языками, степень владения;
- медицинское заключение по установленной форме о результатах обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний (если в соответствии с действующим законодательством указанные осмотры обязательны);
- фотография;
- сведения о последнем месте службы бывших государственных и муниципальных служащих в течение двух лет после увольнения с государственной или муниципальной службы;
- информация, содержащаяся в трудовом договоре и дополнительных соглашениях к трудовому договору;
- информация о наличии или отсутствии судимости и дисквалификации граждан, претендующих на замещение вакантных должностей (руководитель, главный бухгалтер);
- информация о приеме на работу, переводах на другую работу и перемещениях, об увольнениях;
- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы, отпусках по беременности и родам, отпусках по уходу за ребенком;
- сведения о доходах и обязательствах имущественного характера, в том числе, сведения о доходе с предыдущего места работы;
- номер лицевого/ расчетного счета;
-иные персональные данные, необходимые для достижения целей, предусмотренных п. 4.3 настоящей Политики. Иные персональные данные могут быть предусмотрены согласием на обработку персональных данных.
4.3.1.1. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
-фамилия, имя, отчество;
-степень родства;
-год рождения;
-иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.4. Целью обработки персональных данных клиентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является ведение преддоговорной работы, осуществление процедуры выбора контрагентов в целях последующего заключения с ними договоров.
4.4.1. В рамках ведения работы Общества, указанной в п. 4.4 Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- номер расчетного счета;
- регистрация лица в качестве индивидуального предпринимателя, постановка на учет в налоговом органе, пенсионном фонде, фонде социального страхования.
4.4.2. При заключении договора может возникнуть необходимость в предоставлении клиентом иных документов, содержащих информацию о нем.
4.5. Целью обработки персональных данных контрагентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является заключение и исполнение гражданско-правовых договоров в соответствии с Гражданским кодексом Российской Федерации, иными нормативными правовыми актами.
4.5.1. В рамках процесса заключения и исполнения договоров Обществом подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- число, месяц, год рождения;
- место рождения;
- информация о гражданстве;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона и сведения о других способах связи;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика;
- номер расчетного счета;
- регистрация лица в качестве индивидуального предпринимателя, постановка на учет в налоговом органе, пенсионном фонде, фонде социального страхования.
4.5.2. При заключении договора, так и в ходе исполнения договора, может возникнуть необходимость в предоставлении контрагентом иных документов, содержащих информацию о нем.
4.6. Целью обработки персональных данных посетителей офиса Общества, является соблюдение пропускного и внутриобъектового режима в целях обеспечения безопасности проведения деловых встреч и переговоров в офисе Общества.
4.6.1. В рамках выполнения Обществом п. 4.6. Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, код подразделения, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания).
4.6.2. Предоставляя добровольно доступ к данной информации, субъекты, указанные в п. 4.6. Политики, дают согласие на их обработку.
4.7. Целью обработки персональных данных посетителей сайта Общества, пользователей социальных сетей Общества является повышение осведомленности посетителей сайта и социальных сетей о продуктах и услугах, предоставляемых Обществом, осуществление деятельности по продвижению товаров и услуг; регистрация пользователей на сайте, обработка заказов, оформленных при помощи информационно телекоммуникационной сети Интернет; осуществление Обществом клиентской поддержки; проведения исследований с целью повышения качества продуктов и услуг.
4.7.1. В рамках выполнения Обществом п. 4.7. Политики, подлежат обработке следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество (последнее – при наличии);
- номера контактных телефонов;
- адреса электронной почты;
- пользовательские данные (данные о пользовательском устройстве, пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео; данные, характеризующие аудиторные сегменты; параметры сессии; данные о времени посещения; идентификатор пользователя, хранимый в cookie; условия заказа в случае его оформления).
4.7.2. Предоставляя добровольно доступ к данной информации, субъекты, указанные в п. 4.7. Политики, дают согласие на их обработку.
4.7.3. Согласие посетителей сайта, пользователей социальных сетей может быть уточнено в части персональных данных или отозвано путем направления сообщения по адресу электронной почты Оператора.
5. Права субъектов персональных данных
5.1. Оператор имеет право:
5.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
5.1.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
5.2. Оператор обязан:
5.2.1. Организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных.
5.2.2. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
5.2.3. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
5.2.4. В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
5.3. Субъект персональных данных имеет право:
5.3.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных.
5.3.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3.3. Дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
5.3.4. Обжаловать в установленном законом порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
6. Сбор и обработка персональных данных
6.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
6.3. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество (при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование либо фамилию, имя, отчество (при наличии) и адрес Оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись субъекта персональных данных.
6.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
6.5. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
6.6. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
6.7. Субъекты персональных данных до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящей Политикой.
6.8. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
6.9. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
6.10. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.11. Обработка персональных данных для каждой цели обработки, указанной в п. 4 Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
6.12. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
6.13. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
6.13.1. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденный приказом Росархива от 20.12.2019 № 236).
6.13.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6.14. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
6.15. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.16. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
6.17. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.
7. Передача и хранение персональных данных
7.1. При передаче персональных данных субъектов персональных данных Оператор должен соблюдать следующие требования:
7.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.
7.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
7.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.
7.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных и иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8. Защита персональных данных
8.1. Защите подлежат:
- документы (материальные носители), содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
8.2. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается Обществом в порядке, установленном законодательством Российской Федерации.
8.3. Общество принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со ст. 19 Закона о персональных данных.
8.4. Ответственные лица Общества, хранящие персональные данные на бумажных и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации от 15.09.2008 № 687.
8.5. Общество обеспечивает выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
8.6. Для защиты персональных данных Обществом обеспечивается соблюдение следующих мер:
8.6.1. Внутренняя защита:
- ограничение и регламентация состава работников, ответственных и допущенных к обработке персональных данных в Обществе;
- принятие локальных нормативных актов, регулирующих отношения в сфере обработки и защиты персональных данных;
- работники Общества, непосредственно осуществляющие обработку персональных данных, ознакомлены с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
- наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
- обеспечение защиты от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах), защиты паролем компьютеров с персональными данными, использование системы паролей при работе в сети;
- организация порядка уничтожения персональных данных;
- воспитательная и разъяснительная работа с работниками Общества по предупреждению утраты ценных сведений при работе с документами, содержащими персональные данные;
- обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- персональные данные работников, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных работников в электронном виде вне применяемых работодателем информационных систем и специально обозначенных работодателем баз данных (внесистемное хранение персональных данных) не допускается.
8.6.2. Внешняя защита:
- неконтролируемое проникновение или пребывание посторонних лиц в помещение, где ведется обработка персональных данных, исключено.
8.6.3. Защита персональных данных на электронных носителях. Защита компьютеров с персональными данными паролем, использование системы паролей при работе в сети.
9. Обновление, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
9.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
9.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
9.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.9. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9.10. Порядок уничтожения персональных данных Оператором.
9.10.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
9.10.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
9.10.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора Общества.
9.10.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
10.1. Ответственность лиц, виновных в нарушении требований законодательства Российской Федерации, определяется в соответствии с законодательством Российской Федерации.
