Политика оператора ООО «ФОРЛЕКС»
ОГРН:1107451001041/ ИНН:7451294701
в отношении обработки персональных данных
1. Общие положения
1.1. Политика оператора в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
субъект персональных данных (Клиент) - физическое лицо - заказчик продукта - клиент (субъект персональных данных), заключивший с Обществом договор на предоставление определенного вида услуг, сформированного Обществом; либо физическое лицо - клиент (субъект персональных данных), от имени которого заказчик определенного вида услуг или работ заключил с Обществом договор на предоставление определенного вида услуг, который формируется Обществом. Также субъектом может выступать иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг. Также субъектом может выступать Пользователь – физическое лицо, к которому относятся соответствующие персональные данные, просматривающее содержание сайта и/или использующее функционал сайта.
субъект персональных данных (работник) – физическое лицо, которое является соискателем или сотрудником (работником) Общества (в том числе бывшим работником).
сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность на сайте в сети Интернет и на всех субдоменах, созданных на его основе.
услуги – профессиональная правовая помощь, оказываемая юристами или адвокатами гражданам и организациям. Цель — защита прав и законных интересов клиента, а также обеспечение соблюдения законодательства при совершении сделок, ведении бизнеса или решении споров.
1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.6. Оператор персональных данных вправе:
отстаивать свои интересы в предусмотренном законом порядке на досудебном этапе и в рамках судебного разбирательства;
предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы, прокуратура, суд и др.);
отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных.
1.7. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.
1.8. Настоящая Политика регламентируется Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 г. и другими нормативными правовыми актами.
1.9. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных при оказании Обществом всех возможных услуг в отношении субъектов обработки персональных данных, в том числе в отношении Клиентов Общества. Общество собирает персональные данные только в объеме, необходимом для достижения названных целей.
1.10. Настоящая Политика утверждается директором и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным Клиента.
2. Состав и получение персональных данных клиентов
2.1. К персональным данным, сбор и обработку которых осуществляет Общество, относятся, в зависимости от категории субъекта персональных данных:
1) Кандидаты на вакантные должности, открытые в Обществе:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
контактная информация;
сведения об образовании, опыте работы, квалификации;
иные персональные данные, сообщаемые кандидатами в резюме, в том числе на сайтах по поиску работы, и сопроводительных письмах.
2) Работники и бывшие работники Общества:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
паспортные данные;
адрес регистрации и фактического проживания;
контактная информация;
банковские реквизиты;
индивидуальный номер налогоплательщика;
страховой номер индивидуального лицевого счета (СНИЛС);
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
семейное положение;
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
данные о регистрации брака при смене фамилии работником;
сведения о воинском учете;
сведения об инвалидности;
сведения об удержании алиментов;
фото;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового, налогового, пенсионного и другого применимого законодательства.
3) Клиенты Общества:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
адрес регистрации и фактического проживания;
контактная информация;
банковские реквизиты в случае перечисления денежных средств;
индивидуальный номер налогоплательщика;
иные персональные данные, предоставляемые пациентами, необходимые для заключения и исполнения договора.
4) Представители, заказчики по договорам:
фамилия, имя, отчество;
паспортные данные;
адрес регистрации и фактического проживания;
контактная информация;
банковские реквизиты в случае перечисления денежных средств;
индивидуальный номер налогоплательщика;
иные персональные данные, предоставляемые представителями и заказчиками, необходимые для заключения и исполнения договора (в том числе свидетельства о рождении и иные документы, подтверждающие полномочия представителя\законного представителя).
5) Контрагенты Общества (физические лица):
фамилия, имя, отчество;
паспортные данные;
адрес регистрации и фактического проживания;
контактная информация;
банковские реквизиты;
индивидуальный номер налогоплательщика;
иные персональные данные, предоставляемые контрагентами, необходимые для заключения и исполнения договора.
6) Представители контрагентов Общества (юридических лиц):
фамилия, имя, отчество;
паспортные данные
адрес регистрации и фактического проживания;
контактная информация;
занимаемая должность;
иные персональные данные, предоставляемые представителями, необходимые для заключения и исполнения договора.
2.2. Все персональные данные сотрудники Общества получают непосредственно от субъекта персональных данных – Клиента либо от его представителя и (или) законного представителя.
2.3. На сайте подключен сервис аналитики, который помогает оценивать эффективность работы и поведение пользователей. Сервис может собирать обезличенные данные — cookies, IP-адрес и информацию о действиях посетителя. Продолжая использовать сайт, посетитель сайта подтверждает согласие на обработку своих персональных данных с применением данного сервиса. К таким данным, в том числе, относятся:
— фамилия, имя, отчество;
— пол, дата рождения;
— контактный телефон;
— адрес электронной почты;
— данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
— пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
— данные, характеризующие аудиторные сегменты;
— параметры сессии;
— данные о времени посещения;
— идентификатор пользователя, хранимый в cookie;
— условия заказа в случае его оформления,
3. Обработка и хранение персональных данных Клиентов
3.1. Обработка персональных данных Обществом в интересах Клиентов заключается в любом действии (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Клиентов.
3.2. Обработка персональных данных Клиентов ведется методом смешанной обработки.
3.3. К обработке персональных данных Клиентов могут иметь доступ только работники Общества, допущенные к работе с персональными данными Клиентов.
3.4. Перечень работников Общества, имеющих доступ к персональным данным Клиентов, определяется директором.
3.5. Персональные данные Клиентов на бумажных носителях хранятся у работников Общества, допущенных к персональным данным Клиентов.
3.6. Персональные данные Клиентов в электронном виде хранятся в электронных папках и файлах в персональных компьютерах работников, допущенных к обработке персональных данных Клиентов.
4. Использование и передача персональных данных Клиентов
4.1. Использование персональных данных Клиентов возможно только в соответствии с целями, определившими их получение.
4.2. При передаче персональных данных Клиентов Общество должен соблюдать следующие требования:
лица, получающие персональные данные Клиентов, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
доступ к персональным данным Клиента может быть разрешен только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения определенных функций.
предоставление каких-либо сведений, в том числе относящихся к персональным данным, в частности, при функционировании контрольно-кассовой техники в адрес операторов фискальных данных, а также налоговых органов, финансовых организаций осуществляется в соответствии с требованиями законодательства.
5. Защита персональных данных Клиентов от несанкционированного доступа
5.1. Общество при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных клиентов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
5.2. Работники Общества в целях эффективной защиты персональных данных Клиентов обязуются:
соблюдать порядок получения, учета и хранения персональных данных Клиентов;
5.3. применять технические меры защиты персональных данных, в том числе антивирусную защиту, межсетевые экраны, разграничение прав доступа (пароли), специализированные средства защиты информации от несанкционированного доступа.
5.4. Допуск к персональным данным Клиентов работников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
5.5. Документы, содержащие персональные данные Клиентов, хранятся в помещениях, обеспечивающих защиту от несанкционированного доступа.
5.6. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Клиентов;
системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
5.7. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя в пределах, предоставленных Согласием на обработку персональных данных.
6. Обязанности Общества
6.1. Общество обязано:
Осуществлять обработку персональных данных Клиентов исключительно в целях оказания услуг Клиентам.
Получать персональные данные Клиента непосредственно у него самого. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работники Общества должны сообщить Клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законом.
Предоставлять доступ к своим персональным данным Клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Ограничивать право Клиента на доступ к своим персональным данным, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.
В случае выявления недостоверных персональных данных при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
В случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными в срок, не превышающий пяти рабочих дней с даты такого выявления, устранить допущенные нарушения, уведомив субъекта обработки и (или) уполномоченный орган.
7. Права Клиента
7.1. Клиент имеет право на:
доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Обществом;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
определение форм и способов обработки его персональных данных;
ограничение способов и форм обработки персональных данных;
запрет на распространение персональных данных без его согласия;
изменение, уточнение, уничтожение информации о самом себе;
обжалование неправомерных действий или бездействий по обработке персональных данных.
8. Конфиденциальность персональных данных Клиентов, их уничтожение и ответственность
8.1. Персональные данные относятся к категории конфиденциальной информации.
8.2. Работники Общества, получающие доступ к персональным данным, должны обеспечивать конфиденциальность таких данных, не допускать их распространения третьими лицами без согласия Клиентов либо наличия иного законного основания, если иное не предусмотрено законодательством Российской Федерации.
8.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей.
8.4. Лица, имеющие доступ к персональным данным Клиентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения указанного режима. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
8.5. Хранение персональных данных клиентов может осуществляться на бумажных и электронных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных. Все электронные носители персональных данных подлежат строгому учету.
8.6. Хранение персональных данных клиентов должно происходить в порядке, исключающем их утрату или их неправомерное использование. Персональные данные клиентов, содержащиеся на бумажных носителях и отчуждаемых электронных носителях информации, должны храниться в сейфах или запираемых шкафах, установленных в пределах контролируемой зоны.
8.7. Персональные данные клиентов, содержащиеся на электронных носителях информации, должны храниться на автоматизированных рабочих местах и серверах информационных систем, установленных в пределах контролируемой зоны.
8.8. Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
8.9. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
8.10. Обрабатываемые персональные данные должны быть уничтожены в следующих случаях:
в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
в случае выявления неправомерной обработки с персональными данными и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
ликвидации Общества.
8.11. В случае выполнения п. 8.10. Политики персональные данные на бумажном носителе уничтожаются путем сжигания или использования шредера, в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
8.12. После уничтожения персональных данных необходимо уведомить об этом субъекта персональных данных или его законного представителя/представителя.
8.13. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
8.14. В случае отсутствия возможности уничтожения персональных данных в течение указанных выше сроков, Общество осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.15. Общество несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность работников за соблюдением установленного режима конфиденциальности.
8.16. Каждый работник, получающий доступ к конфиденциальному документу, содержащему персональные данные клиента, несет личную ответственность за сохранность носителя и конфиденциальность информации.
8.17. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут ответственность в порядке, установленном федеральными законами.
8.18. Жалобы и заявления по поводу соблюдения требований обработки персональных данных рассматриваются в срок, не превышающий десять рабочих дней со дня поступления. Работники Общества обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Клиентов, а также содействовать исполнению требований компетентных органов.
9. Заключительные положения
9.1. Настоящая Политика и изменения к ней утверждаются директором Общества.
9.2. Настоящая Политика вступает в силу с момента её утверждения и действует бессрочно, до замены её новым документом.
9.3. Настоящая Политика является обязательной для исполнения всеми работниками Общества, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным.