>

Политика конфиденциальности

Политика в отношении  обработки персональных данных

общества с ограниченной ответственностью «Альфа» 

  1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее  «Политика») принята и действует в Обществе с ограниченной ответственностью «Альфа»  (адрес: Россия, 630128, г. Новосибирск, ул. Демакова, д. 20; ОГРН 1135476146101; далее  «Компания»).

1.2. Компания собирает, использует и охраняет персональные данные, которые субъекты персональных данных и иные уполномоченные лица предоставляют Компании при использовании сайтов и мобильных приложений Компании (далее – «сайты») с любого устройства и при коммуникации с Компанией в любой форме, в соответствии с данной Политикой.

1.3. Используя сайты Компании и предоставляя Компании свои персональные данные, субъект персональных данных даёт согласие на обработку своих персональных данных в соответствии с данной Политикой.

1.4. Политика подлежит публикации в сети Интернет на сайте Компании.

1.5. Основные понятия.

Понятия в настоящей Политике используются в значении, определяемом законодательством России о персональных данных, в частности:

«персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

«обработка персональных данных» – осуществление любых действий или совокупности действий в отношении Ваших персональных данных, включая сбор, запись, систематизацию, накопление, хранение, обновление и изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, как с использованием, так и без использования систем автоматизированной обработки персональных данных;

«предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

«распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

«трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

«блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

«уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

«обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

«информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

  1. Цели обработки персональных данных

2.1. Компания осуществляет обработку персональных данных для достижения следующих целей:

1) обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;

2) осуществление функций, полномочий и обязанностей, возложенных законодательством России на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования;

3) проведение мероприятий по противодействию легализации (отмыванию) доходов,
полученных преступным путем, и финансированию терроризма;

4) регулирование трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

5) предоставление работникам Компании и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

6) защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

7) предоставление сведений уведомительного или маркетингового характера, в том числе о товарах, работах, услугах, проводимых акциях, мероприятиях (по которым имеется
предварительное согласие клиента на их получение);

8) рассмотрение возможности заключения, подготовка, заключение, исполнение и прекращение договоров с контрагентами, в том числе с субъектами персональных данных;

9) проведение мероприятий по урегулированию заявлений, претензий, сообщений клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;

10) формирование справочных материалов для внутреннего информационного обеспечения деятельности Компании;

11) исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством России об исполнительном производстве;

12) осуществление прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижение общественно значимых целей.

2.2. Допускаются иные цели обработки персональных данных, не противоречащие законодательству России, целям, задачам и видам деятельности Компании, и на проведение указанной обработки получено согласие субъекта персональных данных, либо его получение не требуется в соответствии с законодательством России.

  1. Правовые основания обработки персональных данных

Правовыми основаниями для обработки персональных данных Компанией, в частности, являются:

  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от 01.04.1996 г. № 27-Ф3 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 27.07.2006 г. № 149-Ф3 «Об информации, информационных технологиях и защите информации»;
  • Федеральный закон от 22.10.2004 г. № 125-Ф3 «Об архивном деле в Российской Федерации»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • устав и локальные нормативные акты Компании;
  • договоры, заключаемые Компанией, в которых субъект персональных данных является стороной, выгодоприобретателем или поручителем;
  • согласие на обработку персональных данных, предоставляемое Компании субъектом персональных данных или его представителем.

 

  1. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Компания обрабатывает персональные данные следующих категорий субъектов:

1) физических лиц, обратившихся в Компанию в целях трудоустройства и предоставивших свои персональные данные;

2) физических лиц, состоящих, а также ранее состоявших в трудовых отношениях с Компанией;

3) физических лиц, предоставивших свои персональные данные в связи в связи с заключением ученического договора и иного гражданско-правового договора, предметом которого является выполнение работ (оказание услуг) физическим лицом Компании, заключивших такие договоры, а также физических лиц, договорные отношения с которыми прекращены;

4) физических лиц, являющихся аффилированными лицами и (или) руководителями Компании и (или) руководителями, участниками (акционерами) и (или) работниками юридического лица, являющегося аффилированным лицом по отношению к Компании, а также физических лиц, являющихся бенефициарными владельцами Компании;

5) физических лиц, представляющих интересы Компании перед третьими лицами на основании доверенности, а также представителей юридических лиц, представляющих интересы Компании перед третьими лицами на основании доверенности;

6) физических лиц, предоставивших свои персональные данные в связи с заключением договоров, по которым Компания продаёт или предоставляет физическому лицу товары, выполняет для него работы или оказывает услуги, всех иных договоров (соглашений), которые заключаются или могут быть заключены в будущем между Компанией и физическим лицом, а также в связи с оформлением и подачей в Компанию любых заявок, заявлений, выражающих намерение физического лица получить от Компании товары или воспользоваться работами (услугами), выполняемыми (оказываемыми) Компанией;

7) физических лиц, обратившихся в Компанию с запросом любого характера, и предоставивших в связи с этим свои персональные данные;

8) пользователей (посетителей) сайтов Компании и пользователей мобильных приложений Компании, предоставивших свои персональные данные посредством заполнения форм таких сайтов и мобильных приложений;

9) представителей указанных выше физических лиц;

10) представителей, выгодоприобретателей и бенефициарных владельцев клиентов (контрагентов) Компании, а также представителей юридических лиц, обращающихся в Компанию с запросом любого характера;

4.2. Компания обрабатывает следующие персональные данные вышеуказанных субъектов: фамилия, имя, отчество; гражданство; год, месяц, дата рождения; место рождения, адрес; профессия, должность; ИНН; СНИЛС; контактная информация (телефон, адрес электронной почты); сведения о банковских счетах, реквизитах для перевода электронных денежных средств; сведения об имуществе и обязательствах. Компания вправе осуществлять обработку иных категорий персональных данных, если согласие на такую обработку предоставлено субъектом персональных данных или его представителем или если это необходимо для исполнения обязанностей, установленных законодательством России.

4.3. Категории персональных данных, обрабатываемые в соответствии с Политикой, в отношении каждой конкретной категории субъектов персональных данных определяются исходя из принципа разумной достаточности для достижения целей обработки персональных данных.

4.4. Компания не обрабатывает персональные данные, относящиеся к специальным категориям в соответствии с законодательством России о персональных данных, и биометрические персональные данные, за исключением случаев, особо оговорённых в Политике.

4.5. Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом «Об обязательном медицинском страховании в Российской Федерации», ч. 2 ст. 10 Федерального закона «О персональных данных».

 

  1. Порядок и условия обработки персональных данных

5.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.2. Способы обработки персональных данных в Компании:

5.2.1. Автоматизированная и смешанная обработка применяется в отношении персональных данных:

– обрабатываемых в соответствии с трудовым законодательством;

– сделанных субъектом персональных данных общедоступными;

– полученных Компанией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Компанией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

5.2.2. Неавтоматизированная обработка персональных данных применяется в отношении прочих персональных данных.

 

5.3. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

5.4. Компания без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

 

  1. Защита персональных данных

Компания при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

6.1. Назначение лица, ответственного за организацию обработки и обеспечение безопасности персональных данных.

6.2. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

6.3. Ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства России о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников.

6.4. Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными.

6.5. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

6.6. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке.

6.7. Резервное копирование информации для возможности восстановления.

6.8. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

6.9. Учёт машинных носителей персональных данных.

6.10. Выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

6.11. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.12. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

6.13. Контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

 

  1. Актуализация, исправление, удаление и уничтожение персональных данных

7.1. Актуализация и исправление персональных данных осуществляются на основании сведений, представленных субъектом персональных данных, его представителем или  уполномоченным органом по защите прав субъектов персональных данных. В течение семи рабочих дней со дня получения соответствующих сведений Компания обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и снять блокирование персональных данных.

7.2. Компания установила следующие сроки и условия прекращения обработки персональных данных:

7.2.1. Достижение целей обработки персональных данных и максимальных сроков хранения – в течение 30 дней.

7.2.2. Утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней.

7.2.3. Предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней.

7.2.4. Невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней.

7.2.5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней.

7.3. По истечении указанных в пункте 7.2 Политики сроков Компания обязана уничтожить персональные данные либо обеспечить их уничтожение, если:

– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.

 

  1. Реагирование на обращения субъектов персональных данных

8.1. Компания обязана сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

8.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Компания обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

8.3. Компания обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

8.4. Обращение субъекта персональных данных или его представителя может быть направлено в Компанию любым способом, позволяющим достоверно установить содержание обращения, направившее его лицо и наличие у такого лица соответствующего права на обращение.