ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Общества с ограниченной ответственностью «ПРОФТРЙДЛАБ»
1. Общие положения
1.1. Политика в отношении обработки и защиты персональных данных ООО «ПРОФТРЙДЛАБ» (далее – Политика) разработана в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон о персональных данных) и является основополагающим локальным актом Общества с ограниченной ответственностью «ПРОФТРЕЙДЛАБ» (далее также – ООО «ПРОФТРЕЙДЛАБ», ОБЩЕСТВО), определяющим ключевые направления деятельности ОБЩЕСТВА в области обработки и защиты персональных данных, оператором которых является ООО «ПРОФТРЕЙДЛАБ».
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных ОБЩЕСТВОМ, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Действие Политики распространяется на персональные данные субъектов, обрабатываемые ОБЩЕСТВОМ с использованием средств автоматизации, а также без использования средств автоматизации.
1.5. ООО «ПРОФТРЕЙДЛАБ» обеспечивает открытый доступ к Политике в отношении обработки персональных данных путем ее размещения в сети Интернет на сайте ОБЩЕСТВА (https://proftradelab.ru/personaldataprocessingpolicy).
1.6. В Политике используются следующие термины и определения:
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
— неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
— распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.7. В рамках обработки персональных данных ОБЩЕСТВО имеет право:
— осуществлять обработку персональных данных работников ОБЩЕСТВА в рамках трудового законодательства;
— осуществлять обработку и систематизацию персональных данных, предоставленных в составе документов и обращений физических лиц, поступающих в том числе через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/), в соответствии с законодательством Российской Федерации;
— передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
1.8. В рамках обработки персональных данных ОБЩЕСТВО обязано:
— осуществлять обработку персональных данных строго в соответствии с законодательством Российской Федерации;
— предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;
— разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и Согласие на обработку данных если законодательством не предусмотрено иное;
— обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
— не допускать обработку персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— не допускать объединение, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
— уничтожать персональные данные по достижении целей обработки или в случае утраты необходимости в их достижении.
Если персональные данные получены не от субъекта персональных данных, ОБЩЕСТВО, за исключением случаев, предусмотренных Законом о персональных данных, до начала обработки таких персональных данных обязана в установленном порядке уведомить об этом субъекта персональных данных.
1.9. Субъект персональных данных имеет право:
— требовать от ОБЩЕСТВА уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— получать от ОБЩЕСТВА информацию, касающуюся обработки его персональных данных;
—требовать подтверждение факта обработки ОБЩСЕТВОМ персональных данных;
— запросить информацию о правовых основаниях и целях обработки персональных данных;
— запросить уточнение целей и применяемых ОБЩЕСТВОМ способов обработки персональных данных;
— запросить сведения о лицах (за исключением работников ОБЩЕСТВА), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
— запросить информацию об источнике получения обрабатываемых персональных данных;
— запросить информацию о сроках обработки персональных данных, в том числе сроках их хранения;
— запросить информацию о порядке осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
— запросить информацию о наименовании или фамилии, имени, отчестве (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению ОБЩЕСТВА, если обработка поручена или будет поручена такому лицу;
— отозвать Согласие на обработку своих персональных данных, в случае их неправомерного использования в ОБЩЕСТВЕ;
— обжаловать действия или бездействие ОБЩЕСТВА в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
— иные права, предусмотренные федеральными законами.
1.9.1. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.9.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
1.10. Субъект персональных данных при поступлении на работу в ОБЩЕСТВО обязан точно указывать свои персональные данные, которые необходимы для исполнения требований трудового законодательства.
2. Цели обработки персональных данных
2.1. ОБЩЕСТВО обрабатывает персональные данные в целях:
— оформления трудовых отношений, ведения кадрового делопроизводства, содействия в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гарантиями, обеспечения личной безопасности работников ОБЩЕСТВА, контроля количества и качества выполняемой работы и сохранности имущества;
— заключения, исполнения и прекращения договоров/контрактов;
— формирования ответов на запросы государственных органов (суды, правоохранительные органы, ФССП и др.);
— анкетирования, тестирования, проведения собеседований с кандидатом на должность;
— в иных случаях, установленных законодательством Российской Федерации, Уставом ОБЩЕСТВА и локальными нормативными актами ОБЩЕСТВА.
2.2. Обработка персональных данных в ОБЩЕСТВЕ осуществляется на законной и справедливой основе.
2.3. Обработка персональных данных в ОБЩЕСТВЕ ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. В ОБЩЕСТВЕ не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми ОБЩЕСТВО осуществляет обработку персональных данных.
3.2. ОБЩЕСТВО обрабатывает персональные данные на основании:
— Трудового кодекса Российской Федерации;
— Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— иных федеральных законов и прочих нормативных правовых актов, включая нормативные правовые акты ФСТЭК России, ФСБ России, Роскомнадзора;
— Устава ОБЩЕСТВА;
— договоров, заключаемых между ОБЩЕСТВОМ и субъектами персональных данных;
— согласий на обработку персональных данных.
4. Категории субъектов персональных данных и категории
обрабатываемых персональных данных
4.1. ОБЩЕСТВОМ в зависимости от задач и функций осуществляется обработка следующих персональных данных:
Физические лица, направляющие обращения, в том числе через формы подачи электронных обращений через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/).
фамилия, имя, отчество (ФИО);
телефонный абонентский номер (домашний, рабочий, мобильный);
адрес электронной почты;
место работы.
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости ОБЩЕСТВОМ не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации. В частности, если:
работник ОБЩЕСТВА или другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальным категориям;
получено согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.
4.3. Обработка биометрических персональных данных ОБЩЕСТВОМ не осуществляется.
4.4. Трансграничная передача персональных данных ОБЩЕСТВОМ, работниками ОБЩЕСТВА не осуществляется.
4.5. На сайте ОБЩЕСТВА (https://proftradelab.ru/) используется система аналитики АО «Тильда Паблишинг» в целях анализа пользовательской активности.
4.5.1. Система аналитики «CMS Tilda» в аналитических целях обрабатывает следующие персональные данные посетителей и пользователей сайт ОБЩЕСТВО:
географическое (общее) местоположение.
источники переходов на сайт;
ключевые фразы, по котором пользователи переходят на сайт;
показатели отказов;
время пребывания на сайте;
глубина просмотра;
кликабельность объявлений (выявление наиболее популярных зон на интернет-странице для перехода по ссылкам);
конверсия (соотношение количества пользователей, выполнивших определенные целевые действия, с общим количеством пользователей сайта).
4.5.2. Система аналитики АО «Тильда Паблишинг» размещает постоянный cookie-файл в клиентском веб-браузере для идентификации посетителя сайта ОБЩЕСТВА в качестве уникального пользователя при следующем посещении данного сайта. Этот cookie-файл не может использоваться никем, кроме системы аналитики АО «Тильда Паблишинг». Сведения, собранные с помощью cookie-файла, будут передаваться для хранения на серверы АО «Тильда Паблишинг».
5. Порядок и условия обработки персональных данных
5.1. В ОБЩЕСТВЕ осуществляется смешанная обработка персональных данных (неавтоматизированная и автоматизированная).
5.2. Перечень действий с персональными данными, осуществляемых ОБЩЕСТВОМ:
— сбор,
— систематизация,
— накопление,
— хранение,
— использование,
— передача (предоставление, доступ),
— обезличивание,
— блокирование,
— удаление,
— уничтожение.
5.3. Обращения физических лиц, содержащие персональные данные, подаваемые через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/) поступают в ОБЩЕСТВО в электронной форме, посредством заполнения физическим лицом формы подачи электронного обращения на сайте ОБЩЕСТВА при условии предоставления согласия субъекта персональных данных на обработку его персональных данных.
5.4. Условия прекращения обработки персональных данных:
— истечение срока действия согласия на обработку персональных данных;
— достижение целей обработки персональных данных, содержащихся в обращениях физических лиц;
— отзыв согласия субъекта персональных данных на обработку его персональных данных, в случае их неправомерного использования в ОБЩЕСТВОМ;
— выявление неправомерной обработки персональных данных.
5.5. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных (далее — инцидент) ОБЩЕСТВО в течение 24 часов уведомляет Роскомнадзор:
• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представителе ОБЩЕСТВА, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления ОБЩЕСТВО руководствуется Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными приказом Роскомнадзора от 14.11.2022 № 187 (далее — приказ Роскомнадзора № 187).
5.6. В течение 72 часов после выявления инцидента ОБЩЕСТВО обязано:
• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления о результатах внутреннего расследования ОБЩЕСТВО руководствуется приказом Роскомнадзора № 187.
5.7. В случае возникновения инцидентов, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных из информационных систем и баз ОБЩЕСТВО руководствуется Порядком взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, утвержденным приказом ФСБ России от 13.02.2023 № 77, а также Порядком взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, включая информирование ФСБ России через Национальный координационный центр по компьютерным инцидентам (НКЦКИ) при возникновении компьютерных инцидентов, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6. Актуализация, исправление, уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным
6.1. Для реализации своих прав субъект персональных данных или его представитель должны оформить обращение в письменной форме и направить его в ОБЩЕСТВО почтой по адресу: 127287, г. Москва, ул. Башиловская, д. 12, пом. I-II, к. 8, или на электронный адрес: info@proftradelab.ru, или передать при личном посещении.
6.2. Обращение должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ОБЩЕСТВОМ, либо сведения, иным образом подтверждающие факт обработки персональных данных ОБЩЕСТВОМ, подпись субъекта персональных данных или его представителя.
6.3. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.
6.4. Сведения, предоставляемые ОБЩЕСТВОМ субъекту персональных данных в соответствии с пунктом 1.9 настоящей Политики, должны излагаться в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.5. Срок подготовки ответа и передачи его в почтовое отделение для отправки не может превышать тридцати календарных дней с даты получения ОБЩЕСТВОМ обращения субъекта персональных данных.
6.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации ОБЩЕСТВОМ, а обработка должна быть прекращена.
6.7. Срок внесения необходимых изменений в персональные данные, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
6.8. Срок уничтожения персональных данных, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
7. Сроки обработки, в том числе хранения, персональных данных
7.1. Сроки обработки, в том числе хранения, персональных данных работников ОБЩЕСТВА и других субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных (оператором которых является ОБЩЕСТВО) определяются в соответствии с законодательством Российской Федерации.
7.2. Обработка персональных данных уволенных работников ОБЩЕСТВА осуществляется при наличии оснований и в сроки, предусмотренные законодательством Российской Федерации.
7.3. Персональные данные хранятся на бумажных и иных материальных носителях, в том числе внешних электронных, а также в информационных системах персональных данных ОБЩЕСТВА.
7.4. ОБЩЕСТВО обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, определенных настоящей политикой.
При хранении материальных носителей, содержащих персональные данные, соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7.5. Текущий контроль за сроками обработки, в том числе хранения, персональных данных, а также за использованием и хранением материальных носителей, содержащих персональные данные, в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов ОБЩЕСТВА осуществляет лицо, ответственное за организацию обработки персональных данных.
8. Порядок уничтожения персональных данных при достижении целей обработки
8.1. Структурным подразделением ОБЩЕСТВА, ответственным за делопроизводство, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению.
8.2. Уничтожение персональных данных на электронных носителях по окончании срока их обработки производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.3. Удаление персональных данных по окончании срока обработки из информационных систем персональных данных производится методами и средствами гарантированного удаления остаточной информации.
9. Заключительные положения
9.1. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех работников ОБЩЕСТВА.
9.2. Контроль за исполнением настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных. Порядок назначения, права и обязанности лица, ответственного за организацию обработки персональных данных урегулирован в Положении об обработке персональных данных ОБЩЕСТВА.
9.3. ОБЩЕСТВО имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения для общего доступа.
ПЕРСОНАЛЬНЫХ ДАННЫХ
Общества с ограниченной ответственностью «ПРОФТРЙДЛАБ»
1. Общие положения
1.1. Политика в отношении обработки и защиты персональных данных ООО «ПРОФТРЙДЛАБ» (далее – Политика) разработана в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон о персональных данных) и является основополагающим локальным актом Общества с ограниченной ответственностью «ПРОФТРЕЙДЛАБ» (далее также – ООО «ПРОФТРЕЙДЛАБ», ОБЩЕСТВО), определяющим ключевые направления деятельности ОБЩЕСТВА в области обработки и защиты персональных данных, оператором которых является ООО «ПРОФТРЕЙДЛАБ».
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных ОБЩЕСТВОМ, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Действие Политики распространяется на персональные данные субъектов, обрабатываемые ОБЩЕСТВОМ с использованием средств автоматизации, а также без использования средств автоматизации.
1.5. ООО «ПРОФТРЕЙДЛАБ» обеспечивает открытый доступ к Политике в отношении обработки персональных данных путем ее размещения в сети Интернет на сайте ОБЩЕСТВА (https://proftradelab.ru/personaldataprocessingpolicy).
1.6. В Политике используются следующие термины и определения:
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
— неавтоматизированная обработка персональных данных – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
— распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.7. В рамках обработки персональных данных ОБЩЕСТВО имеет право:
— осуществлять обработку персональных данных работников ОБЩЕСТВА в рамках трудового законодательства;
— осуществлять обработку и систематизацию персональных данных, предоставленных в составе документов и обращений физических лиц, поступающих в том числе через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/), в соответствии с законодательством Российской Федерации;
— передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
1.8. В рамках обработки персональных данных ОБЩЕСТВО обязано:
— осуществлять обработку персональных данных строго в соответствии с законодательством Российской Федерации;
— предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;
— разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и Согласие на обработку данных если законодательством не предусмотрено иное;
— обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
— не допускать обработку персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— не допускать объединение, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
— уничтожать персональные данные по достижении целей обработки или в случае утраты необходимости в их достижении.
Если персональные данные получены не от субъекта персональных данных, ОБЩЕСТВО, за исключением случаев, предусмотренных Законом о персональных данных, до начала обработки таких персональных данных обязана в установленном порядке уведомить об этом субъекта персональных данных.
1.9. Субъект персональных данных имеет право:
— требовать от ОБЩЕСТВА уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— получать от ОБЩЕСТВА информацию, касающуюся обработки его персональных данных;
—требовать подтверждение факта обработки ОБЩСЕТВОМ персональных данных;
— запросить информацию о правовых основаниях и целях обработки персональных данных;
— запросить уточнение целей и применяемых ОБЩЕСТВОМ способов обработки персональных данных;
— запросить сведения о лицах (за исключением работников ОБЩЕСТВА), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
— запросить информацию об источнике получения обрабатываемых персональных данных;
— запросить информацию о сроках обработки персональных данных, в том числе сроках их хранения;
— запросить информацию о порядке осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
— запросить информацию о наименовании или фамилии, имени, отчестве (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению ОБЩЕСТВА, если обработка поручена или будет поручена такому лицу;
— отозвать Согласие на обработку своих персональных данных, в случае их неправомерного использования в ОБЩЕСТВЕ;
— обжаловать действия или бездействие ОБЩЕСТВА в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
— иные права, предусмотренные федеральными законами.
1.9.1. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.9.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
1.10. Субъект персональных данных при поступлении на работу в ОБЩЕСТВО обязан точно указывать свои персональные данные, которые необходимы для исполнения требований трудового законодательства.
2. Цели обработки персональных данных
2.1. ОБЩЕСТВО обрабатывает персональные данные в целях:
— оформления трудовых отношений, ведения кадрового делопроизводства, содействия в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гарантиями, обеспечения личной безопасности работников ОБЩЕСТВА, контроля количества и качества выполняемой работы и сохранности имущества;
— заключения, исполнения и прекращения договоров/контрактов;
— формирования ответов на запросы государственных органов (суды, правоохранительные органы, ФССП и др.);
— анкетирования, тестирования, проведения собеседований с кандидатом на должность;
— в иных случаях, установленных законодательством Российской Федерации, Уставом ОБЩЕСТВА и локальными нормативными актами ОБЩЕСТВА.
2.2. Обработка персональных данных в ОБЩЕСТВЕ осуществляется на законной и справедливой основе.
2.3. Обработка персональных данных в ОБЩЕСТВЕ ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. В ОБЩЕСТВЕ не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми ОБЩЕСТВО осуществляет обработку персональных данных.
3.2. ОБЩЕСТВО обрабатывает персональные данные на основании:
— Трудового кодекса Российской Федерации;
— Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— иных федеральных законов и прочих нормативных правовых актов, включая нормативные правовые акты ФСТЭК России, ФСБ России, Роскомнадзора;
— Устава ОБЩЕСТВА;
— договоров, заключаемых между ОБЩЕСТВОМ и субъектами персональных данных;
— согласий на обработку персональных данных.
4. Категории субъектов персональных данных и категории
обрабатываемых персональных данных
4.1. ОБЩЕСТВОМ в зависимости от задач и функций осуществляется обработка следующих персональных данных:
Физические лица, направляющие обращения, в том числе через формы подачи электронных обращений через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/).
фамилия, имя, отчество (ФИО);
телефонный абонентский номер (домашний, рабочий, мобильный);
адрес электронной почты;
место работы.
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости ОБЩЕСТВОМ не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации. В частности, если:
работник ОБЩЕСТВА или другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальным категориям;
получено согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.
4.3. Обработка биометрических персональных данных ОБЩЕСТВОМ не осуществляется.
4.4. Трансграничная передача персональных данных ОБЩЕСТВОМ, работниками ОБЩЕСТВА не осуществляется.
4.5. На сайте ОБЩЕСТВА (https://proftradelab.ru/) используется система аналитики АО «Тильда Паблишинг» в целях анализа пользовательской активности.
4.5.1. Система аналитики «CMS Tilda» в аналитических целях обрабатывает следующие персональные данные посетителей и пользователей сайт ОБЩЕСТВО:
географическое (общее) местоположение.
источники переходов на сайт;
ключевые фразы, по котором пользователи переходят на сайт;
показатели отказов;
время пребывания на сайте;
глубина просмотра;
кликабельность объявлений (выявление наиболее популярных зон на интернет-странице для перехода по ссылкам);
конверсия (соотношение количества пользователей, выполнивших определенные целевые действия, с общим количеством пользователей сайта).
4.5.2. Система аналитики АО «Тильда Паблишинг» размещает постоянный cookie-файл в клиентском веб-браузере для идентификации посетителя сайта ОБЩЕСТВА в качестве уникального пользователя при следующем посещении данного сайта. Этот cookie-файл не может использоваться никем, кроме системы аналитики АО «Тильда Паблишинг». Сведения, собранные с помощью cookie-файла, будут передаваться для хранения на серверы АО «Тильда Паблишинг».
5. Порядок и условия обработки персональных данных
5.1. В ОБЩЕСТВЕ осуществляется смешанная обработка персональных данных (неавтоматизированная и автоматизированная).
5.2. Перечень действий с персональными данными, осуществляемых ОБЩЕСТВОМ:
— сбор,
— систематизация,
— накопление,
— хранение,
— использование,
— передача (предоставление, доступ),
— обезличивание,
— блокирование,
— удаление,
— уничтожение.
5.3. Обращения физических лиц, содержащие персональные данные, подаваемые через сайт ООО «ПРОФТРЕЙДЛАБ» (https://proftradelab.ru/) поступают в ОБЩЕСТВО в электронной форме, посредством заполнения физическим лицом формы подачи электронного обращения на сайте ОБЩЕСТВА при условии предоставления согласия субъекта персональных данных на обработку его персональных данных.
5.4. Условия прекращения обработки персональных данных:
— истечение срока действия согласия на обработку персональных данных;
— достижение целей обработки персональных данных, содержащихся в обращениях физических лиц;
— отзыв согласия субъекта персональных данных на обработку его персональных данных, в случае их неправомерного использования в ОБЩЕСТВОМ;
— выявление неправомерной обработки персональных данных.
5.5. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных (далее — инцидент) ОБЩЕСТВО в течение 24 часов уведомляет Роскомнадзор:
• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представителе ОБЩЕСТВА, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления ОБЩЕСТВО руководствуется Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными приказом Роскомнадзора от 14.11.2022 № 187 (далее — приказ Роскомнадзора № 187).
5.6. В течение 72 часов после выявления инцидента ОБЩЕСТВО обязано:
• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
При направлении уведомления о результатах внутреннего расследования ОБЩЕСТВО руководствуется приказом Роскомнадзора № 187.
5.7. В случае возникновения инцидентов, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных из информационных систем и баз ОБЩЕСТВО руководствуется Порядком взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, утвержденным приказом ФСБ России от 13.02.2023 № 77, а также Порядком взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, включая информирование ФСБ России через Национальный координационный центр по компьютерным инцидентам (НКЦКИ) при возникновении компьютерных инцидентов, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6. Актуализация, исправление, уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным
6.1. Для реализации своих прав субъект персональных данных или его представитель должны оформить обращение в письменной форме и направить его в ОБЩЕСТВО почтой по адресу: 127287, г. Москва, ул. Башиловская, д. 12, пом. I-II, к. 8, или на электронный адрес: info@proftradelab.ru, или передать при личном посещении.
6.2. Обращение должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ОБЩЕСТВОМ, либо сведения, иным образом подтверждающие факт обработки персональных данных ОБЩЕСТВОМ, подпись субъекта персональных данных или его представителя.
6.3. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.
6.4. Сведения, предоставляемые ОБЩЕСТВОМ субъекту персональных данных в соответствии с пунктом 1.9 настоящей Политики, должны излагаться в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.5. Срок подготовки ответа и передачи его в почтовое отделение для отправки не может превышать тридцати календарных дней с даты получения ОБЩЕСТВОМ обращения субъекта персональных данных.
6.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации ОБЩЕСТВОМ, а обработка должна быть прекращена.
6.7. Срок внесения необходимых изменений в персональные данные, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
6.8. Срок уничтожения персональных данных, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
7. Сроки обработки, в том числе хранения, персональных данных
7.1. Сроки обработки, в том числе хранения, персональных данных работников ОБЩЕСТВА и других субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных (оператором которых является ОБЩЕСТВО) определяются в соответствии с законодательством Российской Федерации.
7.2. Обработка персональных данных уволенных работников ОБЩЕСТВА осуществляется при наличии оснований и в сроки, предусмотренные законодательством Российской Федерации.
7.3. Персональные данные хранятся на бумажных и иных материальных носителях, в том числе внешних электронных, а также в информационных системах персональных данных ОБЩЕСТВА.
7.4. ОБЩЕСТВО обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, определенных настоящей политикой.
При хранении материальных носителей, содержащих персональные данные, соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7.5. Текущий контроль за сроками обработки, в том числе хранения, персональных данных, а также за использованием и хранением материальных носителей, содержащих персональные данные, в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов ОБЩЕСТВА осуществляет лицо, ответственное за организацию обработки персональных данных.
8. Порядок уничтожения персональных данных при достижении целей обработки
8.1. Структурным подразделением ОБЩЕСТВА, ответственным за делопроизводство, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению.
8.2. Уничтожение персональных данных на электронных носителях по окончании срока их обработки производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.3. Удаление персональных данных по окончании срока обработки из информационных систем персональных данных производится методами и средствами гарантированного удаления остаточной информации.
9. Заключительные положения
9.1. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех работников ОБЩЕСТВА.
9.2. Контроль за исполнением настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных. Порядок назначения, права и обязанности лица, ответственного за организацию обработки персональных данных урегулирован в Положении об обработке персональных данных ОБЩЕСТВА.
9.3. ОБЩЕСТВО имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения для общего доступа.