Политика в отношении обработки персональных данных

  1. Назначение и область действия
    1. Политика ООО «АЙ КЬЮ МЕНЕДЖЕР» в отношении обработки персональных данных (далее – Политика) определяет позицию и намерения ООО «АЙ КЬЮ МЕНЕДЖЕР» (далее–Общество) в области обработки и защиты персональных данных, соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
    2. Обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и технологические процессы, в рамках которых они обрабатываются, является важнейшим условием реализации целей деятельности Общества.
    3. Настоящая Политика разработана в соответствии с Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. (далее – ФЗ «О персональных данных»).
    4. Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к персональным данным.
    5. Действие настоящей Политики распространяется на все операции, совершаемые в Обществе с персональными данными с использованием средств автоматизации или без их использования.
  2. Определения
    1. Персональные данные (далее - ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). ПДн являются конфиденциальной, строго охраняемой информацией, на которую распространяются все требования к защите конфиденциальной информации. Общедоступные ПДн не являются конфиденциальной информацией.
    2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Не допускается обработка персональных данных, несовместимая с целями сбора ПДн.
    3. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
  3. Актуализация Политики
    1. Актуализация настоящей Политики проводится в следующих случаях:
      • при изменении действующего законодательства Российской Федерации в области обработки и защиты ПДн;
      • в случаях получения предписаний на устранение несоответствий, затрагивающих область действий настоящей Политики;
      • по усмотрению Общества.
  4. Субъекты персональных данных
    1. Общество, в рамках выполнения своей основной деятельности и являясь оператором персональных данных, в рамках настоящей Политики осуществляет обработку персональных данных различных категорий следующих субъектов ПДн:
      • соискателей на замещение вакантных должностей;
      • работников, состоящих или состоявших в трудовых отношениях с Обществом;
      • родственников работников Общества;
      • представителей потенциальных и существующих клиентов Общества;
      • представителей партнеров и контрагентов Общества;
      • физических лиц, получающих доход, но не состоящих в трудовых отношениях с Обществом.
  5. Цели обработки персональных данных
    1. Обработка персональных данных граждан осуществляется Обществом в целях:
      • обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов, в т.ч. ФЗ «О персональных данных», а также Устава Общества и локальных нормативных актов Общества;
      • передачи Обществом ПДн или поручения их обработки третьим лицам в соответствии с действующим законодательством;
      • выполнения обязательств, предусмотренных трудовым договором между работником и Обществом, таких как начисление заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов, контроль количества и качества выполняемой работником работы и обеспечение сохранности имущества Общества;
      • добровольного и обязательного страхования работников;
      • оказания материальной помощи работникам;
      • найма работников;
      • размещения информации о работниках на сайте Общества;
      • ведения в Обществе телефонного справочника, включающего персональные данные работника;
      • изготовления визитных карточек работника, пропусков, бейджей для осуществления трудовой функции;
      • совершения иных гражданско-правовых сделок и исполнения иных гражданско- правовых обязательств, в том числе в рамках организации и проведения обучения работников юридических лиц – контрагентов Общества;
      • продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями/клиентами с помощью средств связи;
      • реализации прав и выполнения обязанностей, предусмотренных Федеральным законом «Об обществах с ограниченной ответственностью» (образование и деятельность исполнительных органов Общества, одобрение сделок, распределение прибыли и др.).
    2. Цели обработки, состав персональных данных, а также категории субъектов, чьи данные обрабатываются в Обществе, указаны в Уведомлении Общества об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и обновляются в случае их изменения.
  6. Категории персональных данных, которые могут обрабатываться или не подлежат обработке
    1. ПДн первой (специальной) категории - к данной категории относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта ПДн, а также иные ПДн, относимые действующим законодательством к специальным категориям ПДн. Обработка специальных категорий ПДн в Обществе не осуществляется, за исключением случаев, предусмотренных законодательством;
    2. ПДн второй категории - к данной категории относятся биометрические ПДн. ПДн этой категории могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных законодательством. Обработка биометрических ПДн в Обществе не осуществляется;
    3. ПДн третьей (общей) категории - к данной категории относится любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн) (например: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту ПДн) и не относящаяся к специальной категории ПДн и к обезличенным, общедоступным, биометрическим ПДн. В Обществе осуществляется обработка ПДн этой категории в отношении всех категорий субъектов ПДн;
    4. ПДн четвертой категории - к данной категории относятся обезличенные и (или) общедоступные ПДн. Общество может обрабатывать ПДн этой категории с учетом требований, установленных законодательством.
  7. Принципы обработки персональных данных
    1. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Общество обеспечивает надежную защиту ПДн.
    2. Под безопасностью персональных данных Общество понимает защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
    3. Обработка и обеспечение безопасности ПДн в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерациию.
    4. Общество обрабатывает ПДн в соответствии с принципами, указанными в ст. 5 ФЗ «О персональных данных», в т.ч.:
      • осуществляет обработку ПДн только на законной и справедливой основе;
      • не раскрывает третьим лицам и не распространяет ПДн без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);
      • определяет конкретные законные цели до начала обработки (в т.ч. сбора/получения) персональных данных;
      • сроки обработки ПДн в Обществе ограничиваются достижением конкретных, заранее определенных и законных целей, сроков действия договоров с субъектами ПДн и согласий субъектов ПДн на обработку их персональных данных, требований законодательства;
      • при обработке ПДн обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
      • не допускается объединение баз данных, содержащихПДн, обработка которых осуществляется в целях, несовместных между собой.
    5. Общество не осуществляет трансграничную передачу ПДн.
    6. Общество поручает обработку ПДн граждан третьим лицам, на основании заключаемого с этими лицами договора.
    7. Общество осуществляет обработку ПДн с использованием средств автоматизации и без их использования. При этом Общество выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
    8. Обществом не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
    9. В случаях, установленных законодательством Российской Федерации, в т.ч. с согласия гражданина, Общество вправе осуществлять передачу ПДн граждан.
    10. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
  8. Права граждан в части обработки персональных данных
    1. Гражданин, ПДн которого обрабатываются Обществом, имеет право получать от Общества:
      • подтверждение факта обработки ПДн Обществом;
      • сведения о правовых основаниях и целях обработки ПДн;
      • сведения о применяемых Обществом способах обработки ПДн;
      • сведения о наименовании и месте нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании законодательства Российской Федерации;
      • перечень обрабатываемых ПДн, относящихся к субъекту ПДн, от которого поступил запрос и информацию об источнике их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
      • сведения о сроках обработки ПДн, в том числе о сроках их хранения;
      • сведения о порядке осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
      • информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
      • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;
      • требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
      • отозвать свое согласие на обработку ПДн (В случае отзыва гражданином своего согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия гражданина, в случаях, предусмотренных законодательством Российской Федерации.);
      • требовать устранения неправомерных действий Общества в отношении его ПДн;
      • подать жалобу на неправомерную обработку Обществом ПДн;
      • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
    2. Субъект ПДн может отправить письменный запрос в форме электронного документа, подписан электронной подписью и направлен по адресу: http://iqmanager.org, 01iqmanager@gmail.com.
  9. Обеспечение безопасности персональных данных
    1. Общество при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
    2. К таким мерам в соответствии с ФЗ «О персональных данных», в частности, относятся:
      • определение угроз безопасности ПДн при их обработке в информационных системах персональных данных;
      • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационной системе персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Пдн;
      • учет машинных носителей ПДн;
      • обнаружение фактов несанкционированного доступа к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
      • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • установление правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;
      • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационной системы персональных данных.
    3. Конкретные меры обеспечения безопасности ПДн при их обработке в Обществе определяются локальными нормативными актами Общества.
  10. Обязанности Общества как оператора персональных данных
    1. Общество как оператор ПДн обязан:
      • не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством;
      • предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговым, правоохранительным органам и др.);
      • по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных законодательством;
      • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных ФЗ «О персональных данных» и иными законодательными актами РФ;
      • при получении запроса уполномоченного органа по защите прав субъектов ПДн представить уполномоченному органу документы и сообщить в уполномоченный орган необходимую информацию в течение 30 дней с даты получения такого запроса;
      • выполнять иные обязанности, предусмотренные законом или договором.
    2. Общество прекращает обработку ПДнв следующих случаях:
      • при наступлении условий прекращения обработки ПДн или по истечении установленных сроков;
      • по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
      • по требованию субъекта ПДн, если обрабатываемые в Обществе ПДн являются неполными, устаревшими, неточными, незаконно полученными, не являются необходимыми для заявленной цели обработки, и в иных установленных законом случаях;
      • в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;
      • в случае отзыва субъектом ПДн согласия на обработку его ПДн или истечения срока действия такого согласия (если ПДн обрабатываются Обществом исключительно на основании согласия субъекта ПДн);
      • в случае ликвидации Общества.
    3. Обществом для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
      • назначено лицо, ответственное за организацию обработки ПДн;
      • издаются и доводятся до сведения работников локальные нормативные акты по вопросам обработки и обеспечения безопасности ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
      • применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
      • осуществляется внутренний контроль соответствия обработки ПДн требованиям ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных нормативных актов Общества;
      • работники Общества, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и локальных нормативных документов;
      • организован процесс приема и обработки обращений и запросов субъектов ПДн или их представителей.
    4. В Обществе реализуются следующие требования к защите ПДн:
      • организован режим обеспечения безопасности помещения, в котором размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этом помещении лиц, не имеющих права доступа;
      • реализовано обеспечение сохранности носителей ПДн;
      • утвержден документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;
      • вход для уполномоченных лиц в информационную систему, в которой обрабатываются ПДн, обеспечен паролем;
      • персональные компьютеры при начале работы предполагают ввод паролей, которые регулярно обновляются.
  11. Заключительные положения
    1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Общества : http://iqmanager.org