Политика обработки и защиты персональных данных ООО «ДЕМУС»

1. Общие положения

1. Настоящий документ определяет политику ООО «ДЕМУС» (далее Компания) в отношении обработки и защиты персональных данных.

2. Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.

3. В настоящей Политике используются следующие термины и определения:
    оператор — администрация сайта, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    персональные данные — любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных);
    обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
    неавтоматизированная обработка персональных данных — действие по использованию, уточнению (обновлению, изменению), распространению или уничтожению персональных данных, осуществляемые при непосредственном участии человека;
    распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
    блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
    информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в компании с применением средств автоматизации и без применения таких средств.

5. К настоящей Политике должен иметь доступ любой субъект персональных данных (клиент сайта).

2. Принципы и условия обработки персональных данных

1. Обработка персональных данных в компании осуществляется на основе следующих принципов:
• законности и справедливой основы;
• ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработки только тех персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
• недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
• обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
• уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

2. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для осуществления прав и законных интересов компании или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. Политика обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

3. Категории субъектов персональных данных

Сотрудниками Компании осуществляется обработка персональных данных следующих категорий Субъектов:
• работники;
• кандидаты на вакантные должности;
• уволенные работники;
• родственники работников;
• клиенты;
• лица, с которыми заключен договор гражданско-правового характера;
• представители контрагентов Компании, включая контактных лиц контрагентов;
• представителей субъектов персональных данных, уполномоченных на представление их интересов

4. Категории персональных данных, обрабатываемых компанией

Персональные данные работника (претендента на работу):
• фамилия, имя, отчество, возраст, дата рождения;
• паспортные данные;
• сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;
• сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
• занимаемая должность и выполняемая работа;
• сведения о воинском учете;
• сведения о заработной плате и иных доходах работника;
• сведения о социальных гарантиях и льготах и основаниях их предоставления;
• сведения о состоянии здоровья работника и членов его семьи;
• адрес места жительства, номер телефона;
• сведения о наличии судимости;
• сведения о дисциплинарных взысканиях;
• сведения о поощрениях работника;
• сведения об особом социальном статусе работника;
• сведения о личной и семейной жизни работника;
• сведения об обязательном и дополнительном страховании работника и членов его семьи;
• прочие сведения о работнике;
• сведения о наличии детей;
• сведения о состоянии здоровья членов семьи;
• сведения наличии у работника иждивенцев;
• сведения необходимости ухода за больным членом семьи;
• сведения об усыновлении (удочерении);
• сведения об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством.

Персональные данные клиентов, контрагентов и прочих лиц:
• фамилия, имя, отчество;
• адрес места жительства;
• номер телефона;
• ИНН;
• адрес электронной почты;
• платёжные данные;
• информация, которую пользователь самостоятельно вносит при использовании ВебСервисов и ПО Компании или ПО Партнёров;
• иную информацию Пользователя в целях исполнения своих обязательств по Договору с Клиентом и/или Пользователем Веб-сервисов компании.

Данные, которые автоматически передаются Сервисам Компании в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения:
• IP-адрес;
• данные файлов cookie;
• информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам);
• технические характеристики оборудования и программного обеспечения используемых Пользователем;
• дата и время доступа к Сервисам;
• адреса запрашиваемых страниц;
• иная подобная информация для идентификации Пользователя в процессе использования Сервисов Компани улучшения качества сервисов.

В процессе осуществления деятельности Компании возможна обработка любых категорий персональных данных, за исключением биометрических и специальных. К специальным персональным данным относятся:
• сведения о состоянии здоровья;
• сведения о расовой и национальной принадлежности;
• сведения о политических взглядах;
• сведения о религиозных или философских убеждениях;
• сведения о частной жизни;
• сведения о судимости

5. Права субъекта персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.

2. Субъект персональных данных автоматически соглашается с данной политикой обработки персональных данных оставляя свои персональные данные в информационной системе, на сайте и других не противоречащих закону источниках.

3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Компания обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

5. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

6. Если субъект персональных данных считает, что компания осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие компании в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Цели обработки персональных данных

1. Персональные данные обрабатываются в целях:
• проведения маркетинговых акций, продвижение продуктов и услуг клиентам, оценка качества обслуживания клиентов;
• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов;
• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• в иных законных целях.

7. Перечень данных, на которые распространяется соглашение

• Перечень персональных данных, подлежащих защите в Компании, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом Компании.
• Сведениями, составляющими персональные данные, в Компании является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

8. Перечень разрешенных действий с персональными данными

Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Обработка персональных данных в Компании осуществляется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка данных.

9. Сроки обработки персональных данных

1. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.

2. Срок обработки персональных данных, обрабатываемых в Компании, определяется организационно распорядительными документами Компании в соответствии с 152-ФЗ РФ «О персональных данных». Сроки обработки персональных данных определяются в соответствии со сроком действия договоров с субъектом персональных данных. Персональные данные, срок обработки которых истек, должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законом.

10. Обеспечение безопасности персональных данных

1. Безопасность персональных данных, обрабатываемых компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

2. Персональные данные, полученные Компанией в рамках законных целей, не распространяются, а также не предоставляются третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Для целенаправленного создания в компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий компанией применяются следующие организационно-технические меры:
• ограничение и регламентация состава работников, имеющих доступ к персональным данным;
• ознакомление работников с требованиями федерального законодательства и нормативных документов компании по обработке и защите персональных данных;
• обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
• проверка готовности и эффективности использования средств защиты информации;
• реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
• регистрация и учёт действий пользователей информационных систем персональных данных;
• парольная защита доступа пользователей к информационной системе персональных данных;
• осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
• централизованное управление системой защиты персональных данных;
• резервное копирование информации;
• обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

11. Ответственность за нарушение норм, регулирующих обработку персональных данных

Компания и/или Работники Компании, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

12. Информация об операторе персональных данных

ООО «ДЕМУС» является оператором персональных данных (ОГРН: 1037843066348, ИНН: 7825405995);

Оператор находится по адресу: 190005, г. Санкт-Петербург, Измайловский пр. д. 4, литер А, помещение 17-Н ч.п. 90

Адрес для корреспонденции: 190005, г. Санкт-Петербург, Измайловский пр. д. 4, литер А, офис 307

13. Заключительные положения

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.