1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) в ООО «Геркон» (далее - Компания) является официальным документом, который определяет общие принципы, цели, содержание и порядок обработки персональных данных в Компании, а также меры, направленные на защиту персональных данных.
1.2. Настоящая Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.
1.3. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.
2. Основные термины и определения
2.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.2. Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.4. Пользователь – любое совершеннолетнее, дееспособное физическое лицо, посещающее Сайт и использующее информацию, материалы и сервисы Сайта.
2.5. Сайт – совокупность связанных между собой веб-страниц, размещённых в сети Интернет по уникальному адресу (URL), а также его субдоменах с доменным именем «sevencom.ru».
2.6. Cookies – это небольшой текстовый файл, который хранится на устройстве (компьютере, планшете, смартфоне и т.д.) и содержит информацию обактивности Пользователя- физического лица в Интернете. Является одной из технологий, которые использует ООО «Геркон» для автоматического сбора информации и улучшения качества контента.
3. Порядок и условия обработки персональных данных
3.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
3.2. В случае, если основанием для обработки персональных данных, является согласие субъекта персональных данных:
• согласие берется в момент сбора (получения) персональных данных;
• согласие на обработку персональных данных должно быть конкретным, информированным, сознательным, в любой позволяющей подтвердить факт его получения форме.
3.3. Обработка персональных данных поручается стороннему лицу только с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством, только на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
3.4. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ от 27 июля 2006г. «О персональных данных», настоящей Политикой.
3.5. Содержание и объем персональныхданных определяется исходя из целей обработки:
• ведение кадрового и бухгалтерского учета;
• подбор персонала;
• формирование кадрового резерва;
• обучение и должностной рост работников;
• обеспечение личной безопасности работников и обеспечение сохранности имущества;
• продвижение товаров, работ, услуг на рынке;
• заключение договоров и выполнение обязательств по договорам на оказание услуг связи, в том числе, проведение расчетов и платежей, техническое обслуживание оборудования, аренда оборудования, информационно-справочное обслуживание;
• заключение гражданско-правовых договоров;
• рассмотрение обращений физических лиц;
• сбор, обработка и анализ информации о производительности и использовании сайта Пользователями.
3.6. В целях, указанных в пункте 3.5 настоящей Политики, обрабатываются следующие категории персональных данных:
• соискатели;
• работники, бывшие работники;
• ближайшие родственники работников;
• практиканты;
• учредители Компании;
• абоненты;
• клиенты по услугам;
• представители контрагентов (юридические лица, в т.ч. индивидуальные предприниматели);
• посетители сайта;
• пользователи сайта, мобильного приложения.
3.7. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:
• фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
• число, месяц, год рождения;
• место рождения;
• информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• адрес места жительства (адрес регистрации, фактического проживания);
• номер контактного телефона или сведения о других способах связи;
• реквизиты страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• реквизиты страхового медицинского полиса обязательного медицинского страхования;
• реквизиты свидетельства государственной регистрации актов гражданского состояния;
• семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
• сведения о трудовой деятельности;
• сведения о воинском учете и реквизиты документов воинского учета;
• сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
• сведения о прежних местах работы;
• сведения о профессиональной переподготовке и (или) повышении квалификации;
• информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
• сведения о доходах, об имуществе и обязательствах имущественного характера;
• результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований).
• адрес электронной почты;
• персональные данные, указанные заявителем в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения;
• номер лицевого счета;
• логин (имя учетной записи);
• адрес подключения;
• номер банковской карты;
• статистика пользования услугой связи;
• реквизиты свидетельства о государственной регистрации в качестве индивидуального предпринимателя услугой связи;
• иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.5 настоящей Политики.
3.8. Обработка биометрических персональных данных, персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни не осуществляется.
3.9. В случае возникновения необходимости получения персональных данных работника Компании у третьей стороны, следует известить об этом работника Компании заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
3.10. Компания не осуществляет трансграничную передачу персональных данных субъектов персональных данных.
3.11. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.
3.12. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
3.13. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания должна уведомить уполномоченный орган по защите прав субъектов персональных данных:
• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
3.14. В Компании обработка персональных данных физических лиц осуществляется в целях предоставления услуг связи, заключения иных гражданско-правовых договоров и рассмотрения обращений физических лиц.
3.15. Персональные данные граждан, направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
4. Обработка электронных пользовательских данных, включая файлы cookies
4.1. Компания в целях обработки персональных данных, предусмотренных настоящей Политикой, может собирать электронные пользовательские данные на сайте Компании в автоматическом режиме.
4.2. Заходя на официальный сайт sevencom.ru и принимая условия обработки файлов cookiesво всплывающем уведомлении, Пользователь выражает свое согласие на использование с помощью автоматизированной обработки своих метрических данных.
4.3. К файлам cookies относятся следующие данные: данные о Посетителях и Пользователях сайта Компании, доступные и собираемые Компанией самостоятельно или с привлечением сервиса Яндекс.Метрика, а именно:
• запросы как Посетителя сайта;
• системная информация, данные из браузера Пользователя;
• IP-адрес;
• Типы мобильных устройств, используемых пользователем, если применимо;
• Количество посещений сайта и просмотров страниц;
• Длительность пребывания на сайте;
• Запросы, использованные Пользователя при переходе на сайт;
• страницы, с которых были совершены переходы;
• регион местоположения Пользователя;
• дата и время, когда совершались действия на сайте;
• ID используемого Пользователем устройства.
4.4. Оператором сервиса Яндекс.Метрики является ООО «Яндекс», зарегистрирован по адресу 119021, Москва, ул. Льва Толстого, д. 16 (далее – Яндекс). Яндекс.Метрика работает с файлами cookies и создает псевдонимные профили использования, которые позволяют анализировать использование Пользователями. Информация, хранящаяся в таких файлах cookies (например, тип / версия браузера, используемая операционная система, URL-адрес реферера, имя хоста компьютера, получающего доступ, время запроса к серверу), обычно передается и сохраняется на серверах Яндекс. Для блокировки Яндекс.Метрики можно скачать и установить надстройку по ссылкеhttps://yandex.com/support/metrica/general/opt-out.html?lang=ru. Дополнительную информацию можно получить в политике конфиденциальности Яндекс.
4.5. Обрабатываемые файлы cookies уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
5. Сроки обработки и хранения персональных данных
5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации.
5.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.3. Компания обеспечивает раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях.
5.4. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Компании.
6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. В случае подтверждения факта неточности персональных данных, персональные данные подлежат их актуализации Компанией.
6.2. В случае подтверждения факта неправомерности обработки персональных данных, их обработка должна быть прекращена, соответственно.
6.3. В случае достижения целей обработки персональных данных или утраты необходимости в достижении целей обработки персональных данных указанные персональные данные уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения целей обработки персональных данных (утраты необходимости в достижении целей обработки персональных данных).
6.4. Уничтожение персональных данных с машинных носителей производится способом, исключающим возможность их восстановления:
• перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью;
• удалением записи о файлах;
• обнулением журнала файловой системы;
• полной перезаписью всего адресного пространства машинного носителя персональных данных случайной битовой последовательностью с последующим форматированием.
6.5. Физическое уничтожение материальных носителей персональных данных осуществляется путем их сжигания или измельчения до степени, исключающей возможность восстановления хранящейся на них информации
6.6. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается комиссией Компании, состав которой утверждается приказом директора Компании.
6.7. По окончании процедуры уничтожения составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.
7. Права субъектов персональных данных
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Компанией;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Компанией способы обработки персональных данных;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
7.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.
7.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Сведения о реализуемых мерах обеспечения безопасности персональных данных
8.1. Важнейшим условием реализации целей деятельности Компании является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.
8.2. В Компании в соответствии с действующим законодательством Российской Федерации разработан и введен в действие комплекс организационно-распорядительных, функциональных и планирующих документов, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных.
8.3. Созданные в Компании условия и режим защиты информации, отнесенной к персональным данным, позволяют обеспечить защиту обрабатываемых персональных данных:
• назначение ответственных лиц за организацию обработки и обеспечение защиты персональных данных;
• ограничение состава работников Компании, имеющих доступ к персональным данным;
• определение уровня защищенности персональных данных при обработке в информационных системах персональных данных;
• установление правил разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных и обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
• ограничение доступа в помещения, где размещены основные технические средства и системы информационных систем персональных данных и осуществляется неавтоматизированная обработка персональных данных;
• ведение учета машинных носителей персональных данных;
• организация резервирования и восстановления работоспособности информационных систем персональных данных и персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление требований к сложности паролей для доступа к информационным системам персональных данных;
• осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
• организация своевременного обновления программного обеспечения, используемого в информационных системах персональных данных и средств защиты информации;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по установлению причин и устранению возможных последствий;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
9. Изменение Политики
9.1. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Компании, если иное не предусмотрено новой редакцией Политики.
9.2. Иные права и обязанности Компании, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.
Верхняя Пышма
