Утверждена приказом от 01 марта 2023 года
Политика обработки персональных данных
- Общие положения
- Настоящий документ определяет политику ООО ЕВРОХАУЗ (далее - Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Нормативной базой, регламентирующей положения настоящей Политики, являются Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ, Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», Налоговый кодекс Российской Федерации (часть вторая), иные нормативно-правые акты, обязывающие Оператора передавать персональные данные работников по запросам уполномоченных государственных органов, Постановление Правительства Российской Федерации от 15.09.2008 № 687, положения иных нормативно-правовых актов Российской Федерации в области обработки персональных данных, Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», приказа ФСБ от 13.02.2023 г. № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу(предоставление, распространение, доступ) персональных данных.
- К настоящей Политике должен иметь доступ любой субъект персональных данных. Все субъекты персональных данных гарантируют, что являются совершеннолетними.
- В настоящей Политике используются следующие основные понятия:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- Оператор - ООО ЕВРОХАУЗ (ИНН 6685099246 ОГРН 1156658068896 Юр.адрес: Екатеринбург, ул. Юлиуса Фучика 11 оф 4);
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных);
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Сайт - www.sofason.ru официальный сайт Оператора в информационно-телекоммуникационной сети «Интернет».
- Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных.
- Изменения вступают в силу в день опубликования на Сайте Оператора.
- Цели обработки персональных данных, субъекты обработки персональных данных, категории персональных данных, основание для обработки персональных данных
- № п/пЦель обработки персональных данныхСубъекты обработки персональных данныхКатегории персональных данныхОснование для обработки персональных данных1ведение кадрового и бухгалтерского учетаРаботники, Родственники работников, Уволенные работники фамилия, имя, отчество, ИНН, пол, дата и место рождения, гражданство, профессия, должность, образование, СНИЛС, отношение к воинской обязанности, сведения о воинском учете, семейное положение, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), данные документа, удостоверяющего личность, адрес места жительства, адрес регистрации, номер телефона, номер расчетного счетасогласие субъекта персональных данных;
- необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей2обеспечение соблюдения трудового законодательстваРаботники, Родственники работников, Уволенные работникифамилия, имя, отчество, ИНН, пол, дата и место рождения, гражданство, профессия, должность, образование, СНИЛС, отношение к воинской обязанности, сведения о воинском учете, семейное положение, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), данные документа, удостоверяющего личность, адрес места жительства, адрес регистрации, номер телефона, номер расчетного счетасогласие субъекта персональных данных;
- необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей3обеспечение соблюдения налогового законодательстваРаботники, Контрагентыфамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должностьсогласие субъекта персональных данных;
- необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей4обеспечение соблюдения пенсионного законодательстваРаботникифамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); профессия; должностьсогласие субъекта персональных данных;
- необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей5подготовка, заключение и исполнение гражданско-правового договораКлиенты, Контрагенты, Представители контрагентовфамилия, имя, отчество, номер телефона, адрес места жительства, адрес регистрации, ИНН, СНИЛС, данные документа, удостоверяющего личность; номер расчетного счетаобработка персональных данных осуществляется с согласия субъекта персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных6подбор персонала (соискателей) на вакантные должности оператораСоискателифамилия, имя, отчество, пол, гражданство, номер телефона, адрес электронной почты, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании, семейное положение, социальное положениеобработка персональных данных осуществляется с согласия субъекта персональных данных
- Порядок хранения, сроки обработки и уничтожения персональных данных
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Персональные данные, полученные на основании согласий субъектов персональных данных, хранятся в течении срока действия того согласия (либо до истечения срока, указанного в п.5.7. настоящей Политики при получении отзыва согласия), а также до достижения целей их обработки, если иное не предусмотрено действующим законодательством Российской Федерации и настоящей Политикой.
- Сроки хранения персональных данных для всех целей обусловлены требованиями законодательства и настоящей Политикой.
- Персональные данные, содержащиеся:
- в карточках формы № Т-2, в трудовых договорах, соглашениях об их изменении, расторжении подлежат хранению 50 лет с момента увольнения работника;
- в приказах о ежегодно оплачиваемых отпусках, отпусках в связи с обучением, о служебных проверках, о направлении в командировку работников подлежат хранению в течение 5 лет;
- в приказах о дисциплинарных взысканиях подлежат хранению в течение 3 лет;
- в приказах по личному составу (о приеме, переводе, перемещении, ротации, совмещении, совместительстве, увольнении, оплате труда, аттестации, повышении квалификации, поощрении, премировании, отпусках по уходу за ребенком, отпусках без сохранения заработной платы) подлежат хранению 50 лет со дня создания;
- в карточках индивидуального учета сумм начисленных выплат и иных вознаграждений и сумм начисленных страховых взносов, регистров налогового учета подлежат хранению 5 лет;
- в трудовых книжках подлежат хранению в течение срока работы у Оператора.
- Персональные данные соискателей на замещение вакантных должностей подлежат хранению 30 дней с момента принятия решения об отказе в приеме на работу.
- Персональные данные соискателей на замещение вакантных должностей подлежат хранению 30 дней с момента принятия решения об отказе в приеме на работу.
- Срок хранения персональных данных для цели 5 ограничен сроком исполнения всех обязательств, в том числе гарантийных, по заключенному договору.
- Для всех целей обработка Оператором персональных данных прекращается в следующих случаях:
- достижение целей обработки персональных данных;
- истечение срока обработки персональных данных, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных;
- при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям законодательства Российской Федерации.
- в случаях, установленных федеральным законом или договором, стороной которого является субъект персональных данных.
- Уничтожение персональных данных субъекта для всех указанных целей осуществляется комиссией по защите информации.
- Уничтожение персональных данных, обрабатываемых автоматическим способом, производится путем стирания из массива данных.
- Уничтожение персональных данных, обрабатываемых неавтоматическим способом, производится путем механического измельчения.
- Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. При уничтожении персональных данных должны соблюдаться условия по конфиденциальности этих данных.
- Порядок уничтожения регламентирован Положением об уничтожении персональных данных, утвержденным приказом Оператора
- В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
- Принципы обработки персональных данных
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
- Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению.
- Согласие субъекта персональных данных на обработку персональных данных для Цели 5 может быть выражено в форме проставления отметок («V» /подписи) в соответствующих графах договора купли-продажи либо соответствующих чек-боксах сайта.
- Согласие субъекта персональных данных на обработку персональных данных для иных Целей может быть выражено в форме подписанного заявления.
- Обработка персональных данных
- Оператором для целей 1-4 используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных.
- Оператором для целей 5, 6 используется автоматизированный способ обработки персональных данных.
- Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
- Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
- Обработка персональных данных осуществляется с согласия субъектов персональных данных.
- Оператор не осуществляет обработку биометрических персональных данных.
- Оператор не осуществляет обработку специальных категорий персональных данных.
- Оператор не создает общедоступные источники персональных данных.
- Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
- Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
- субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
- передача предусмотрена федеральным законом в рамках установленной процедуры.
- Права субъектов персональных данных
- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
- Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в том числе в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Субъект персональных данных имеет все иные права, определенные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Предоставление сведений о персональных данных
- Сведения о персональных данных, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении к Оператору либо при получении в Оператором запроса от субъекта персональных данных или его представителя в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
- Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
- Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
- В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- 1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- 2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
- Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
- Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней со дня получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
- Меры, принимаемые Оператором для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
- Меры, предпринятые Оператором для исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки и защиты персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных;
- осуществление внутреннего контроля соответствия процесса обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
- опубликование документа, определяющего политику в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите персональных данных в общем доступе в салонах;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- учет и обеспечение сохранности материальных носителей персональных данных;
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, готовность к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
- реализация и контроль организационных и технических мер в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Ответственность должностных лиц
- Работники Оператора, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством.
- Поручение на обработку персональных данных.
- Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
- В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
- В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.