1. Общие положения
1.1. Положение о работе с персональными данными клиентов, контрагентов и пользователей сайта ООО «ПРАЙМ КОНСАЛТ» (далее – Положение) разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
1.2. Настоящее Положение определяет обработки персональных данных субъектов персональных данных и гарантии конфиденциальности сведений о физических лицах: клиентах и/или представителях компаний-клиентов, контрагентах и/или представителях компаний-контрагентов и пользователях сайта ООО «ПРАЙМ КОНСАЛТ», которые предоставили ООО «ПРАЙМ КОНСАЛТ» свои персональные данные.
1.3. Цель настоящего Положения – защита персональных данных клиентов, контрагентов и пользователей сайта ООО «ПРАЙМ КОНСАЛТ» от несанкционированного доступа и разглашения. Персональные данные вышеперечисленных лиц являются конфиденциальной, строго охраняемой информацией.
1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.5. Настоящее Положение и изменения к нему утверждаются директором ООО «ПРАЙМ КОНСАЛТ» и вводятся приказом.
1.6. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «ПРАЙМ КОНСАЛТ» (далее - Оператор, Организация, ООО «ПРАЙМ КОНСАЛТ»).
1.7. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.8. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
· сбор;
· запись;
· систематизацию;
· накопление;
· хранение;
· уточнение (обновление, изменение);
· извлечение;
· использование;
· передачу (распространение, предоставление, доступ);
· обезличивание;
· блокирование;
· удаление;
· уничтожение.
2. Понятие и состав персональных данных
2.1. Перечень обрабатываемых персональных данных, подлежащих защите в Организации, формируется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Организации.
2.2. Сведениями, составляющими персональные данные, в Организации является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
— физических лиц, посетителей веб-сайта Организации https://primeconsalt.ru/, а также физических лиц, которые заключили какой-либо договор с Организацией;
— физических лиц, добровольно предоставивших свои персональные данные в целях получения консультаций от Организации;
— физических лиц, обратившихся в Организацию в целях трудоустройства и предоставивших свои персональные данные, работников Организации;
— физических лиц, являющихся аффилированными лицами Организации или руководителями, участниками или сотрудниками юридического лица, являющегося аффилированным лицом по отношению к Организации;
— физических лиц, являющихся сотрудниками контрагентов Организации;
— физические лица, состоящие с Организацией в гражданско-правовых отношениях;
— физические лица, являющиеся кандидатами на работу;
— физических лиц, обратившихся в Организацию с запросом любого характера, и предоставивших в связи с этим свои персональные данные.
3. Цели обработки персональных данных
3.1. Организация осуществляет обработку персональных данных в следующих целях:
— исполнение настоящей Политики и требований законодательства Российской Федерации;
— связь с пользователем путём направления уведомлений, запросов и информации, касающихся использования Сайта Организации, оказания, предусмотренных Сайтом Организации услуг;
— исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
— осуществление возложенных на Организацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом «О персональных данных»;
— информирование о проводимых Организацией и (или) третьими лицами, в интересах которых действует Организация, рекламных и (или) маркетинговых акциях, опросах, анкетировании, маркетинговых исследованиях в отношении услуг, оказываемых Организацией.
4. Принципы и условия обработки персональных данных
4.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
4.2. Обработка персональных данных Организации осуществляется на основе принципов:
— законности и справедливости целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.
4.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации. Организация осуществляет обработку персональных данных с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.
4.4. При обработке персональных данных Организация будет стремиться обеспечить точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Организация стремится обеспечить принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.
4.5. Организация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
4.6. Все персональные данные Организация получает от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
5. Права и обязанности
5.1. Права и обязанности Организации.
5.1.1. Организация, как оператор персональных данных, вправе:
– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
— предоставлять персональные данные субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
— отстаивать свои интересы в суде;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
— обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.
5.1.2. Организация, как оператор персональных данных, обязана:
— предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
— организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
— отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
— публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
— принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
— исполнять иные обязанности, предусмотренные Законом о персональных данных.
5.2. Права и обязанности субъекта персональных данных.
5.2.1. Субъект персональных данных имеет право:
— в письменном виде требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Соответствующее уведомление об уточнении, блокировании или уничтожении своих персональных данных отправляется субъектом персональных данных на юридический адрес Организации ценным письмом с уведомлением о вручении;
— в письменном виде требовать перечень своих персональных данных, обрабатываемых Организацией и источник их получения путем подачи соответствующего запроса на юридический адрес Организации ценным письмом с уведомлением о вручении;
— получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.2.2. Субъект персональных данных обязан:
— предоставлять Оператору достоверные данные о себе;
— сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
5.2.3. Субъект персональных данных может в рабочее время обратиться в Организацию по любым вопросам, касающимся обработки его персональных данных и отзыва согласия на обработку персональных данных, отправив соответствующее сообщение по электронному адресу: Primeconsalt@mail.ru и по телефону +79600078842.
5.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
6. Обеспечение безопасности персональных данных
6.1. Организация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
6.2. При обработке персональных данных с использованием средств автоматизации Организацией, в частности, применяются следующие меры:
— назначается ответственный за организацию и обеспечение безопасности обработки персональных данных;
— осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству РФ и внутренним документам Организации;
— проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ о персональных данных, определяется соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством РФ.
7. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
7.1. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
7.1.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· контактные данные;
· сведения об образовании, опыте работы, квалификации;
· иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
7.1.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· изображение (фотография);
· паспортные данные;
· адрес регистрации по месту жительства;
· адрес фактического проживания;
· контактные данные;
· индивидуальный номер налогоплательщика;
· страховой номер индивидуального лицевого счета (СНИЛС);
· сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
· семейное положение, наличие детей, родственные связи;
· сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
· данные о регистрации брака;
· сведения о воинском учете;
· сведения об инвалидности;
· сведения об удержании алиментов;
· сведения о доходе с предыдущего места работы;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.1.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
· фамилия, имя, отчество;
· степень родства;
· год рождения;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.1.4. Клиенты и контрагенты Оператора (физические лица) - для целей осуществления своей деятельности:
· фамилия, имя, отчество;
· дата и место рождения;
· паспортные данные;
· адрес регистрации по месту жительства;
· контактные данные;
· замещаемая должность;
· индивидуальный номер налогоплательщика;
· номер расчетного счета;
· иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
7.1.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности:
· фамилия, имя, отчество;
· паспортные данные;
· контактные данные;
· замещаемая должность;
· иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
7.2. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
7.3. Вышеперечисленные данные далее по тексту Политики объединены общим понятием «Персональные данные».
7.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
7.5. Документы, содержащие персональные данные, создаются путем:
– копирования оригиналов документов;
– внесения сведений в учетные формы;
– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.);
– получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных.
8. Порядок сбора, хранения, передачи и других видов обработки персональных данных8.1. Безопасность персональных данных, которые обрабатываются Организацией, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
8.2. Организация обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
8.3. Персональные данные никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо в случае, если субъектом персональных данных дано согласие Организации на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
8.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Организации уведомление посредством электронной почты на электронный адрес Организации
Primeconsalt@mail.ru с пометкой «Отзыв согласия на обработку персональных данных».
8.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
8.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
8.7. Организация при обработке персональных данных обеспечивает конфиденциальность персональных данных.
8.8. Организация осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных, ликвидация Организации.
8.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.
8.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
8.12. Персональные данные на бумажных носителях хранятся в Организации в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
8.13. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.14. Оператор прекращает обработку персональных данных в следующих случаях:
• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
• достигнута цель их обработки;
• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
8.15. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
9. Перечень действий, производимых оператором с персональными данными Пользователей
9.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, уничтожение персональных данных.
9.2. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
9.3. Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
10. Заключительные положения
10.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации в сети Интернет.
10.2. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите персональных данных.
10.3. Настоящая Политика может быть изменена без предварительного уведомления или согласия Пользователя. Новая редакция Политики вступает в силу с момента её размещения, если иное не предусмотрено новой редакцией Политики.
10.4. Контроль исполнения требований настоящей Политики осуществляется лицом ответственным за обеспечение безопасности персональных данных Организации.
10.5. Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Организации.