1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) является основой для организации работы по обработке и обеспечению безопасности персональных данных в ООО «ВК» (далее – Компания). Положения настоящей Политики распространяются на всех работников Компании, имеющих доступ к персональным данным.
1.2. Настоящая Политика является общедоступной и подлежит размещению на сайте Компании. Компания оставляет за собой право в любое время обновлять и изменять Политику.
1.3. Обработка персональных данных в Компании осуществляется в соответствии с требованиями действующего законодательства и следующими основными принципами:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
- легитимности организационных и технических мер по обеспечению безопасности персональных данных;
- непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
- стремления к постоянному совершенствованию системы защиты персональных данных.
1.4. С целью поддержания деловой репутации Компания считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
1.5. Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Субъект персональных данных – определенное или определяемое физическое лицо, к которому прямо или косвенно относятся персональные данные.
2.4. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.5. Конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:
3.1.1. Осуществление трудовых отношений с работниками Компании в соответствии с действующим трудовым законодательством и заключенными трудовыми договорами, в том числе:
- рассмотрение резюме и подбор кандидатов на вакантную должность для дальнейшего трудоустройства;
- исполнение Компанией обязательств, предусмотренных заключенными договорами и обеспечивающими их выполнение локальными нормативными актами;
- обеспечение условий и процессов, необходимых для выполнения работниками Компании трудовых обязанностей;
- оказание работникам содействия в обучении и карьерном росте;
- содействие в получении работниками Компании социальных льгот и компенсаций.
3.1.2. Заключение, исполнение, сопровождение, изменение, расторжение договоров с контрагентами с учетом требований действующего законодательства, в том числе:
- заключение, сопровождение, изменение, расторжение договоров;
- исполнение Компанией обязательств, предусмотренных договорами;
- исполнение Компанией обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами;
- ведение переговоров и процессов согласования договоров;
- предоставление возможности использования интернет-сервисов Компании в соответствии с пользовательскими (лицензионными) соглашениями;
- подтверждение принадлежности аккаунта в сервисе пользователю;
- исполнение обязательств, предусмотренных правилами проведения мероприятий (конкурсов), включая, но не ограничиваясь, по выдаче призов участникам, уплате налогов;
3.1.3. Оформление гостевых пропусков для однократного прохода на территорию Компании;
3.1.4. Обработка обращений (жалоб, претензии, заявления и т.д.) по заключенным договорам (в т.ч. от пользователей) или в соответствии с действующим законодательством РФ.
3.1.5. информационное обеспечение лиц, использующих информационную систему Компании.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания осуществляет обработку персональных данных на следующих правовых основаниях:
- Устав ООО «ВК»;
- Трудовое законодательство, включая Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ, Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации";
- Гражданский кодекс РФ от 30.11.1994 г. № 51-ФЗ (часть первая), от 26.01.1996 г. №14-ФЗ (часть вторая), от 26.11.2001 г. № 146-ФЗ (часть третья), от 18.12.2006 г. № 230-ФЗ (часть четвертая);
- Налоговый кодекс РФ от 31.07.1998 г. № 146-ФЗ (часть первая), от 05.08.2000 г. №117-ФЗ (часть вторая);
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 26.07.2006 N 135-ФЗ "О защите конкуренции";
- Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании»;
- Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
- Постановление Государственного комитета РФ по статистике от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- Постановления уполномоченных органов;
- Договор с контрагентом;
- Пользовательское (лицензионное) соглашение интернет-сервиса;
- Правила мероприятий (конкурсов) (соглашение);
- Согласие на обработку персональных данных;
- Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- Локальные акты, принятые Компанией в соответствии с законодательством о персональных данных, включая настоящую Политику и действующую редакцию Положения об обработке персональных данных в ООО «ВК».
4.2. Для каждого из Интернет-сервисов Компании предусмотрена соответствующая политика конфиденциальности, не противоречащая настоящей Политике.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В Компании осуществляется или допускается обработка персональных данных следующих категорий субъектов персональных данных:
- cоискатели;
- работники Компании;
- бывшие работники Компании;
- родственники работников Компании;
- физические лица, аффилированные с Компанией;
- физические лица, имеющие договорные отношения с Компанией:
- исполнители по договорам с физическими лицами;
- индивидуальные предприниматели;
- пользователи интернет-сервисов Компании;
- гости Компании по деловым поездкам;
- участники проводимых Компанией мероприятий (конкурсов).
- представители лиц, имеющих договорные отношения с Компанией;
- работники лиц, заключивших договор с Компанией;
- посетители Компании;
- субъекты персональных данных, направляющие заявления, претензии и иные обращения в адрес Компании;
- представители субъектов персональных данных, направляющие заявления, претензии и иные обращения в адрес Компании от имени субъектов персональных данных.
5.2. Объем персональных данных, обрабатываемых Компанией в целях заключения, исполнения, сопровождения, изменения, расторжения соглашений с пользователями сервисов Компании определяется Политикой конфиденциальности сервисов Mail.ru, размещаемой по адресу https://help.mail.ru/legal/terms/common/privacy, и уточняется политиками конфиденциальности соответствующих Интернет-сервисов.
5.3. Объем персональных данных, обрабатываемых Компанией в иных целях, предусмотренных настоящей Политикой, определяется локальными актами Компании и доводится до сведения субъектов персональных данных по запросу.
5.4. Обработка Компанией специальных категорий персональных данных допускается только в случаях, предусмотренных федеральным законодательством РФ.
5.5. Обработка Компанией биометрических персональных данных не осуществляется, если иное явным образом не указано в политике конфиденциальности Интернет-сервисов Компании или в отдельном локальном нормативном акте.
6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных вправе:
6.1.1. получать информацию, касающуюся своих персональных данных и ее обработки, в порядке и в объеме, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6.1.2. назначать представителей;
6.1.3. требовать от Компании уточнения персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.4. принимать предусмотренные законодательством РФ меры по защите своих прав;
6.1.5. отзывать согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой;
6.2. Субъекты персональных данных обязаны осуществлять свои права в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе с частью 3 статьи 14, устанавливающей требования к содержанию запросов от субъектов, а также с иными нормативными правовыми актами.
7. ОСНОВНЫЕ ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Компания осуществляет обработку персональных данных, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение персональных данных только при наличии оснований и в течение сроков, предусмотренных действующим законодательством.
7.2. Обработка персональных данных Компанией осуществляется как с использованием, так и без использования средств автоматизации (в т.ч. смешанная обработка).
7.3. При обработке персональных данных Компания соблюдает права субъектов персональных данных и выполняет обязанности оператора, предусмотренные законодательством РФ о персональных данных.
7.4. Обработка Компанией персональных данных может осуществляться по поручению третьих лиц. В таких случаях Компания не является оператором и не обязана получать согласия на обработку персональных данных у субъектов персональных данных.
7.5. Компания, осуществляя обработку персональных данных субъекта персональных данных, вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных и на основании заключаемого с этим лицом договора.
7.6. При сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
7.7. В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
7.8. Компания в ходе своей деятельности может осуществлять передачу персональных данных третьим лицам, в случаях, предусмотренных законодательством РФ или с согласия субъекта персональных данных.
8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации Компанией.
8.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Компания прекращает обработку персональных данных способом, предусмотренным ч. 7 ст. 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.3. Компания вправе продолжить обработку персональных данных в случае достижения цели обработки, при наличии иных законных оснований. Компания также вправе продолжить обработку персональных данных после отзыва согласия субъекта на обработку персональных данных, при наличии оснований, предусмотренных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8.4. В случае выявления неправомерной обработки персональных данных они подлежат уничтожению Компанией в порядке, предусмотренном законодательством РФ о персональных данных.
8.5. Компания осуществляет реагирование на запросы/обращения субъектов персональных данных и их представителей, а также уполномоченных органов в соответствии с действующим законодательством РФ.
8.6. Запросы/обращения указанных субъектов по поводу неточности персональных данных, неправомерности их обработки, доступа субъекта персональных данных к своим персональным данным направляются по адресу места нахождения Компании в письменной форме или в ином порядке, предусмотренном действующим законодательством РФ. Отзыв согласия на обработку персональных данных направляется субъектом персональных данных в письменной форме по адресу места нахождения Компании.
8.7. Компания вправе ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных федеральными законами РФ, в том числе в случае, если доступ нарушает права и законные интересы третьих лиц.
8.8. При направлении запроса/обращения в Компанию с целью реализации прав субъекта персональных данных необходимо указывать:
- фамилию, имя, отчество субъекта персональных данных или его представителя;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
- подпись субъекта персональных данных (или его представителя).
8.9. При направлении отзыва согласия на обработку Персональных данных в Компанию с целью реализации прав субъекта персональных данных необходимо указывать, в том числе:
- фамилию, имя, отчество субъекта персональных данных или его представителя, адрес субъекта персональных данных;
- сведения, подтверждающие наличие у субъекта персональных данных отношений с Компанией (например, номер и дата договора, название конкурса, идентификатор пользователя в сервисах Компании: логин, id, ссылка на профиль, номер телефона, адрес электронной почты или иное), либо сведения, которые могут свидетельствовать об обработке Компанией персональных данных соответствующего субъекта;
- подпись субъекта персональных данных (или его представителя).
9. ВЫПОЛНЯЕМЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования применимых нормативных документов в области обработки и обеспечения безопасности персональных данных, включая:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 г.
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Постановление Правительства РФ от 15.09.2008г.
№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
9.2. Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
9.3. В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
9.4. Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
Редакция от 01.03.2022 г.