ПОЛОЖЕНИЕ О ПОРЯДКЕ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Общество с ограниченной ответственностью «БиоМикроГели»
1. Общие положения
1.1. Настоящее Положение устанавливает в Обществе с ограниченной ответственностью «БиоМикроГели» (ИНН 6685000955/ОГРН 1126685000947, юридический адрес: 121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2, далее по тексту - Общество)процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, цели обработки персональных данных, также определяет для каждой цели обработки персональных данных категории обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Положение разработано для реализации в Обществе требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке персональных данных.
1.3. Обработка персональных данных осуществляется на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.4. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Обществе предусмотрены следующие меры:
- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
- издание локальных нормативных актов в области обработки и защиты персональных данных;
- опубликование Положения на сайте Общества в сети «Интернет», в том числе на страницах сайта, с использованием которых осуществляется сбор персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам персональных данных, предоставление возможности ознакомления с этими персональными данными при обращении и/или поступлении запросов указанных субъектов или их представителей, если иное не предусмотрено законодательством Российской Федерации;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству Российской Федерации и локальным нормативным актам Общества в сфере персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных;
- ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, Положением и обучение их принципам и условиям обработки персональных данных;
- организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Обществе;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организация учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи без применения установленных в Обществе мер по обеспечению безопасности персональных данных;
- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в сфере персональных данных;
- иные меры, предусмотренные законодательством Российской Федерации в сфере персональных данных.
1.5. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Гражданский процессуальный кодекс Российской Федерации;
- Кодекс административного судопроизводства РФ;
- Арбитражный процессуальный кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 1 апреля 1996 года N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 28.12.2013 N 400-ФЗ «О страховых пенсиях»;
- Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- устав и иные локальные нормативные акты Общества;
- договоры, заключаемые между Обществом и субъектом персональных данных либо третьим лицом, по которым субъект персональных данных является стороной, выгодоприобретателем или поручителем;
- согласие субъектов на обработку их персональных данных.
2. Основные понятия
В Положении используются следующие понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому или юридическому лицу (субъекту персональных данных);
2) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее –Закон о персональных данных);
3) оператор - общество, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обществом является юридическое лицо Общество с ограниченной ответственностью «БиоМикроГели» (ИНН 6685000955/ОГРН 1126685000947, юридический адрес: 121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2).
4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12)трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Основные права и обязанности Оператора и субъектов персональных данных
3.1.Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3.2. Оператор персональных данных обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы;
3) предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Обществом;
4) принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
5) организовывать оперативное и архивное хранение документов, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.
3.3. Субъекты персональных данных имеют право:
1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Законом о персональных данных;
2) на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
- информацию об отсутствии трансграничной передачи данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей по принятию мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных;
- иные сведения, предусмотренные законодательством Российской Федерации;
3) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.4. Субъекты персональных данных обязаны:
- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4. Цели обработки персональных данных и категории субъектов персональных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, отвечающие целям их обработки.
4.3.Целями сбора и обработки персональных данных Оператора являются:
1) осуществление функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и уставом Общества;
2) осуществление кадрового и бухгалтерского учета;
3) обеспечение соблюдения трудового законодательства РФ, а именно регулирование трудовых и иных непосредственно связанных с ними отношений с работниками (в том числе, но не ограничиваясь подбор персонала, содействие работникам в трудоустройстве, обучении и карьерном развитии; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы; обеспечение сохранности имущества работника и работодателя);
4) обеспечение соблюдения налогового законодательства;
5) обеспечение соблюдения пенсионного законодательства;
6) продвижение товаров, работ, услуг на рынке, в том числе в целях организации и проведения программ лояльности, маркетинговых, рекламных акций, исследований, опросов, осуществления прямых контактов с клиентами Общества с помощью различных средств связи, в том числе по телефону с использованием специальных программ для обмена сообщений, смс-рассылки сообщений, по электронной почте;
7) подготовка, заключение и исполнение гражданско-правовых сделок;
8) участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
9) обеспечение пропускного режима на территории Общества.
4.4. Категории субъектов персональных данных, обрабатываемых в Обществе:
1) работники;
2) уволенные работники;
3) соискатели;
4) контрагенты;
5) представители контрагентов;
6) клиенты;
7) посетители сайта;
8) выгодоприобретатели по договорам;
9) студенты;
10) учащиеся;
11) участники Общества;
12) представители участников Общества;
13) бенефициары;
14) контролирующие лица;
15) аффилированные лица;
16) родственники работников;
17) законные представители;
18) иные категории субъектов персональных данных, персональные данные которых обрабатываются.
5. Состав персональных данных, обрабатываемых в Обществе
5.1. В Обществе обрабатываются следующие категории персональных данных:
1) фамилия, имя, отчество (при наличии), в том числе прежние, дата, место и причины смены;
2) дата (число, месяц, год) рождения;
3) место рождения;
4) пол;
5) гражданство;
6) данные документа, удостоверяющего личность (вид, серия, номер документа, наименование подразделения и код подразделения, выдавшего документ (при наличии), дата выдачи);
7) адрес регистрации и/или фактического проживания;
8) дата регистрации по месту жительства (временного пребывания);
9) номер телефона;
10) почтовый адрес;
11) адрес электронной почты (при наличии) или сведения об ином способе связи;
12) идентификационный номер налогоплательщика;
13) информация, подтверждающая регистрацию в системе индивидуального (персонифицированного) учета (номер страхового свидетельства обязательного пенсионного страхования, страховой номер индивидуального лицевого счета);
14) информация о паспорте гражданина Российской Федерации, удостоверяющем личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
15) информация о государственной регистрации актов гражданского состояния (в том числе информация, содержащаяся в свидетельствах о регистрации актов гражданского состояния);
16) информация об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
17) информация о послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
18) информация о дополнительном профессиональном образовании;
19) информация о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность), в том числе: информация о замещаемой должности; информация о ранее замещаемой должности (последнем месте работы, службы);
20) информация об общем трудовом стаже, стаже государственной гражданской службы, стаже работы по специальности (направлению подготовки);
21) информация о классном чине федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатическом ранге, воинском, специальном звании, классном чине правоохранительной службы (кем и когда присвоены);
22) информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);
23) информация об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
24) сведения о владении иностранными языками, степень владения;
25) сведения об инвалидности, сроке ее действия;
26) сведения о пребывании за пределами Российской Федерации;
27) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без содержания;
28) табельный номер;
29) должность;
30) данные водительского удостоверения;
31) сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (включая, но не ограничиваясь сведения о прививках, данные медосмотра);
32) доходы;
33) заработная плата;
34) банковские реквизиты;
35) фотоизображение;
36) видеоизбражение;
37) данные, которые образуются при посещении сайта Общества (файлы cookies);
38) иные персональные данные, необходимые для достижения целей, предусмотренных ч. 1 ст. 6 Закона о персональных данных.
5.2. Общество на сайте https://wonderlab.eco/ (далее – сайт) применяет сервисы Яндекс.Метрика, которые используют технологию «cookies». Общество записывает cookiesна устройство посетителя сайта, которое он использует для реализации своих потребностей на сайте. Настоящим посетитель сайта дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. Данная информация не используется для установления личности посетителя сайта.
5.3. Обработка специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Обществе не осуществляется.
5.4. Обезличивание персональных данных в Обществе не осуществляется.
5.5. Для осуществления функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и уставом Общества обрабатываются персональные данные, указанные в п.п. 1 – 18 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, участников Общества, их уполномоченных представителей и иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий, бенефициаров и/или контролирующих лиц Общества, аффилированных лиц Общества.
5.6. Для осуществления кадрового и бухгалтерского учета обрабатываются персональные данные, указанные в п.п. 1 – 13, 28 - 29, 32 – 34 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, студентов.
5.7. Для обеспечения соблюдения трудового законодательства РФ, а именно регулирования трудовых и иных непосредственно связанных с ними отношений с работниками (в том числе, но не ограничиваясь подбор персонала, содействие работникам в трудоустройстве, обучении и карьерном развитии; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы; обеспечение сохранности имущества работника и работодателя) обрабатываются персональные данные, указанные в п.п. 1 – 35 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, студентов.
5.8. Для обеспечения соблюдения налогового законодательства обрабатываются персональные данные, указанные в п.п. 1 – 14, 32 – 33 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, контрагентов, клиентов и выгодоприобретателей по договорам.
5.9. Для обеспечения соблюдения пенсионного законодательства обрабатываются персональные данные, указанные в п.п. 1 – 13 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, уволенных работников, контрагентов.
5.10. Для продвижения товаров, работ, услуг на рынке, в том числе в целях организации и проведения программ лояльности, маркетинговых, рекламных акций, исследований, опросов, осуществления прямых контактов с клиентами Общества с помощью различных средств связи, в том числе по телефону с использованием специальных программ для обмена сообщений, смс-рассылки сообщений, по электронной почте обрабатываются персональные данные, указанные в п.п. 1 – 13, 34, 37 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении клиентов и посетителей сайта.
5.11. Для подготовки, заключения и исполнения гражданско-правовых сделок обрабатываются персональные данные, указанные в п.п. 1 – 13, 34 – 36 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении контрагентов, представителей контрагентов, клиентов, выгодоприобретателей по договорам, учащихся студентов, законных представителей.
5.12. Для участия лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах обрабатываются персональные данные, указанные в п.п. 1 – 13, 30 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, родственников работников, уволенных работников, контрагентов, их представителей, клиентов, выгодоприобретателей по договорам, законных представителей.
5.13. Для обеспечения пропускного режима на территории Общества обрабатываются персональные данные, указанные в п.п. 1 – 3, 6, 9, 14 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, контрагентов, представителей контрагентов, участников Общества, их уполномоченных представителей; иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий.
Общество с ограниченной ответственностью «БиоМикроГели»
1. Общие положения
1.1. Настоящее Положение устанавливает в Обществе с ограниченной ответственностью «БиоМикроГели» (ИНН 6685000955/ОГРН 1126685000947, юридический адрес: 121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2, далее по тексту - Общество)процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, цели обработки персональных данных, также определяет для каждой цели обработки персональных данных категории обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Положение разработано для реализации в Обществе требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке персональных данных.
1.3. Обработка персональных данных осуществляется на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.4. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Обществе предусмотрены следующие меры:
- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
- издание локальных нормативных актов в области обработки и защиты персональных данных;
- опубликование Положения на сайте Общества в сети «Интернет», в том числе на страницах сайта, с использованием которых осуществляется сбор персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам персональных данных, предоставление возможности ознакомления с этими персональными данными при обращении и/или поступлении запросов указанных субъектов или их представителей, если иное не предусмотрено законодательством Российской Федерации;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству Российской Федерации и локальным нормативным актам Общества в сфере персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных;
- ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, Положением и обучение их принципам и условиям обработки персональных данных;
- организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Обществе;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организация учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи без применения установленных в Обществе мер по обеспечению безопасности персональных данных;
- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в сфере персональных данных;
- иные меры, предусмотренные законодательством Российской Федерации в сфере персональных данных.
1.5. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Гражданский процессуальный кодекс Российской Федерации;
- Кодекс административного судопроизводства РФ;
- Арбитражный процессуальный кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Федеральный закон от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 1 апреля 1996 года N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 28.12.2013 N 400-ФЗ «О страховых пенсиях»;
- Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- устав и иные локальные нормативные акты Общества;
- договоры, заключаемые между Обществом и субъектом персональных данных либо третьим лицом, по которым субъект персональных данных является стороной, выгодоприобретателем или поручителем;
- согласие субъектов на обработку их персональных данных.
2. Основные понятия
В Положении используются следующие понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому или юридическому лицу (субъекту персональных данных);
2) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее –Закон о персональных данных);
3) оператор - общество, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обществом является юридическое лицо Общество с ограниченной ответственностью «БиоМикроГели» (ИНН 6685000955/ОГРН 1126685000947, юридический адрес: 121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2).
4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12)трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Основные права и обязанности Оператора и субъектов персональных данных
3.1.Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3.2. Оператор персональных данных обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы;
3) предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Обществом;
4) принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
5) организовывать оперативное и архивное хранение документов, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.
3.3. Субъекты персональных данных имеют право:
1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Законом о персональных данных;
2) на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
- информацию об отсутствии трансграничной передачи данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей по принятию мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных;
- иные сведения, предусмотренные законодательством Российской Федерации;
3) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.4. Субъекты персональных данных обязаны:
- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4. Цели обработки персональных данных и категории субъектов персональных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные, отвечающие целям их обработки.
4.3.Целями сбора и обработки персональных данных Оператора являются:
1) осуществление функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и уставом Общества;
2) осуществление кадрового и бухгалтерского учета;
3) обеспечение соблюдения трудового законодательства РФ, а именно регулирование трудовых и иных непосредственно связанных с ними отношений с работниками (в том числе, но не ограничиваясь подбор персонала, содействие работникам в трудоустройстве, обучении и карьерном развитии; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы; обеспечение сохранности имущества работника и работодателя);
4) обеспечение соблюдения налогового законодательства;
5) обеспечение соблюдения пенсионного законодательства;
6) продвижение товаров, работ, услуг на рынке, в том числе в целях организации и проведения программ лояльности, маркетинговых, рекламных акций, исследований, опросов, осуществления прямых контактов с клиентами Общества с помощью различных средств связи, в том числе по телефону с использованием специальных программ для обмена сообщений, смс-рассылки сообщений, по электронной почте;
7) подготовка, заключение и исполнение гражданско-правовых сделок;
8) участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
9) обеспечение пропускного режима на территории Общества.
4.4. Категории субъектов персональных данных, обрабатываемых в Обществе:
1) работники;
2) уволенные работники;
3) соискатели;
4) контрагенты;
5) представители контрагентов;
6) клиенты;
7) посетители сайта;
8) выгодоприобретатели по договорам;
9) студенты;
10) учащиеся;
11) участники Общества;
12) представители участников Общества;
13) бенефициары;
14) контролирующие лица;
15) аффилированные лица;
16) родственники работников;
17) законные представители;
18) иные категории субъектов персональных данных, персональные данные которых обрабатываются.
5. Состав персональных данных, обрабатываемых в Обществе
5.1. В Обществе обрабатываются следующие категории персональных данных:
1) фамилия, имя, отчество (при наличии), в том числе прежние, дата, место и причины смены;
2) дата (число, месяц, год) рождения;
3) место рождения;
4) пол;
5) гражданство;
6) данные документа, удостоверяющего личность (вид, серия, номер документа, наименование подразделения и код подразделения, выдавшего документ (при наличии), дата выдачи);
7) адрес регистрации и/или фактического проживания;
8) дата регистрации по месту жительства (временного пребывания);
9) номер телефона;
10) почтовый адрес;
11) адрес электронной почты (при наличии) или сведения об ином способе связи;
12) идентификационный номер налогоплательщика;
13) информация, подтверждающая регистрацию в системе индивидуального (персонифицированного) учета (номер страхового свидетельства обязательного пенсионного страхования, страховой номер индивидуального лицевого счета);
14) информация о паспорте гражданина Российской Федерации, удостоверяющем личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
15) информация о государственной регистрации актов гражданского состояния (в том числе информация, содержащаяся в свидетельствах о регистрации актов гражданского состояния);
16) информация об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
17) информация о послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
18) информация о дополнительном профессиональном образовании;
19) информация о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность), в том числе: информация о замещаемой должности; информация о ранее замещаемой должности (последнем месте работы, службы);
20) информация об общем трудовом стаже, стаже государственной гражданской службы, стаже работы по специальности (направлению подготовки);
21) информация о классном чине федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатическом ранге, воинском, специальном звании, классном чине правоохранительной службы (кем и когда присвоены);
22) информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);
23) информация об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
24) сведения о владении иностранными языками, степень владения;
25) сведения об инвалидности, сроке ее действия;
26) сведения о пребывании за пределами Российской Федерации;
27) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без содержания;
28) табельный номер;
29) должность;
30) данные водительского удостоверения;
31) сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (включая, но не ограничиваясь сведения о прививках, данные медосмотра);
32) доходы;
33) заработная плата;
34) банковские реквизиты;
35) фотоизображение;
36) видеоизбражение;
37) данные, которые образуются при посещении сайта Общества (файлы cookies);
38) иные персональные данные, необходимые для достижения целей, предусмотренных ч. 1 ст. 6 Закона о персональных данных.
5.2. Общество на сайте https://wonderlab.eco/ (далее – сайт) применяет сервисы Яндекс.Метрика, которые используют технологию «cookies». Общество записывает cookiesна устройство посетителя сайта, которое он использует для реализации своих потребностей на сайте. Настоящим посетитель сайта дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений. Данная информация не используется для установления личности посетителя сайта.
5.3. Обработка специальных категорий персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Обществе не осуществляется.
5.4. Обезличивание персональных данных в Обществе не осуществляется.
5.5. Для осуществления функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и уставом Общества обрабатываются персональные данные, указанные в п.п. 1 – 18 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, участников Общества, их уполномоченных представителей и иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий, бенефициаров и/или контролирующих лиц Общества, аффилированных лиц Общества.
5.6. Для осуществления кадрового и бухгалтерского учета обрабатываются персональные данные, указанные в п.п. 1 – 13, 28 - 29, 32 – 34 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, студентов.
5.7. Для обеспечения соблюдения трудового законодательства РФ, а именно регулирования трудовых и иных непосредственно связанных с ними отношений с работниками (в том числе, но не ограничиваясь подбор персонала, содействие работникам в трудоустройстве, обучении и карьерном развитии; обеспечение личной безопасности работников; контроль количества и качества выполняемой работы; обеспечение сохранности имущества работника и работодателя) обрабатываются персональные данные, указанные в п.п. 1 – 35 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, студентов.
5.8. Для обеспечения соблюдения налогового законодательства обрабатываются персональные данные, указанные в п.п. 1 – 14, 32 – 33 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, контрагентов, клиентов и выгодоприобретателей по договорам.
5.9. Для обеспечения соблюдения пенсионного законодательства обрабатываются персональные данные, указанные в п.п. 1 – 13 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, уволенных работников, контрагентов.
5.10. Для продвижения товаров, работ, услуг на рынке, в том числе в целях организации и проведения программ лояльности, маркетинговых, рекламных акций, исследований, опросов, осуществления прямых контактов с клиентами Общества с помощью различных средств связи, в том числе по телефону с использованием специальных программ для обмена сообщений, смс-рассылки сообщений, по электронной почте обрабатываются персональные данные, указанные в п.п. 1 – 13, 34, 37 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении клиентов и посетителей сайта.
5.11. Для подготовки, заключения и исполнения гражданско-правовых сделок обрабатываются персональные данные, указанные в п.п. 1 – 13, 34 – 36 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении контрагентов, представителей контрагентов, клиентов, выгодоприобретателей по договорам, учащихся студентов, законных представителей.
5.12. Для участия лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах обрабатываются персональные данные, указанные в п.п. 1 – 13, 30 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, родственников работников, уволенных работников, контрагентов, их представителей, клиентов, выгодоприобретателей по договорам, законных представителей.
5.13. Для обеспечения пропускного режима на территории Общества обрабатываются персональные данные, указанные в п.п. 1 – 3, 6, 9, 14 п. 5.1. Положения.
Указанные персональные данные обрабатываются в отношении работников, соискателей, родственников работников, уволенных работников, контрагентов, представителей контрагентов, участников Общества, их уполномоченных представителей; иных физических лиц, с которыми Общество осуществляет взаимодействие в рамках своих полномочий.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
6.3. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
6.4. Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы Общества;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом своей деятельности.
6.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами Общество обеспечивает обязательное выполнение требований законодательства Российской Федерации в области персональных данных. Такие третьи лица, за исключением работников Общества, подписывают обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению общества, где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите персональных данных в соответствии со статьей 19 Закона о персональных данных.
При предоставлении персональных данных по открытым каналам связи Общество обязано принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства.
Передача персональных данных в уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.6. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных является обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку.
6.7. Сроки обработки персональных данных определяются в соответствии с законодательством Российской Федерации. Если сроки обработки персональных данных законодательством Российской Федерации не установлены, то обработка персональных данных осуществляется не дольше, чем этого требуют цели их обработки.
После завершения обработки персональных данных документы, содержащие персональные данные, подлежат хранению либо уничтожению в порядке и сроки, предусмотренные законодательством Российской Федерации об архивном деле.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Департаментом и субъектом персональных данных.
Сроки хранения персональных данных, обрабатываемых в информационных системах, должны соответствовать срокам хранения документов на бумажных носителях, содержащих персональные данные.
6.8. Обработка Обществом персональных данных его работников осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. При определении объема и содержания обрабатываемых персональных данных его работников Общество руководствуется нормами действующего законодательства Российской Федерации.
6.8.1. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.8.2.Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном действующим законодательством Российской Федерации. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
6.8.3. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном действующим законодательством Российской Федерации.
6.8.4. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
6.9. Хранение персональных данных работников, выдача трудовых книжек (дубликатов трудовых книжек), хранение личных дел и иных документов, отражающих персональные данные работника, возлагаются на лицо, назначенное приказом руководителя Общества.
6.9.1. Персональные данные работников вместе с необходимыми документами остаются у Работодателя или лица, ответственного за оформление приема и хранение личных дел работников. Порядок хранения трудовых книжек установлен инструкцией. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено действующим законодательством.
В личном деле хранится Личная карточка работника и вся информация, относящаяся к персональным данным работника. Личные дела и личные карточки хранятся в бумажном виде в папках. Личные дела и личные карточки находятся в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
Работодатель обеспечивает хранение первичных документов, связанных с работой документации по учету труда, кадров и оплаты труда в Обществе.
6.10. При передаче персональных данных работника Общество должно соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством Российской Федерации;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном действующим законодательством Российской Федерации;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном действующим законодательством Российской Федерации и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
6.11.Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных. Уничтожение персональных данных осуществляется путем удаления информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением.
6.12. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
-иное не предусмотрено договором;
-оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
-иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.13.Прекращением обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
6.14. Сроки уничтожения Обществом персональных данных, указаны в таблице.
7. Рассмотрение запросов субъектов персональных данных и их представителей
7.1. Субъекты персональных данных имеют право на получение информации, указанной в п. 3.3.2 Положения, а также обращаться с требованием об уничтожении персональных данных в соответствии с п. 3.3.3 Положения.
7.2. Сведения, предоставляемые в порядке п. 7.1. Положения, предоставляются субъекту персональных данных или его представителю в доступной форме. В них не должны содержаться персональные данные, относящиеся к иным субъектам, за исключением наличия правовых оснований для такого раскрытия данных.
Срок предоставления сведений – 10 (десять)рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае, если сведения, указанные в п. 7.1. Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 7.1. Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30-дневного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен также содержать обоснование направления повторного запроса.
Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего требованиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
7.3. Субъект персональных данных вправе в любое время отозвать согласие на обработку персональных данных, подписав собственноручной подписью, направив в письменной форме запрос по адресу Общества:121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2. При этом, отзыв согласия не должен влиять на законность обработки персональным данных, основанных на согласии до его отзыва.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Общество РФ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Закона о персональных данных.
8. Ответственность участников правоотношений по работе с персональными данными
8.1.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.2.К работнику Общества, ответственному за хранение персональных данных в Обществе, Общество вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ: замечание, выговор, увольнение. Работодатель вправе по своей инициативе расторгнуть трудовой договор при разглашении охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
8.3.Персональные данные являются одним из видов охраняемой законом тайны, и защита их конфиденциальности, согласно которой в ситуации, если лицо, имеющее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, административный штраф будет начислен в размерах, предусмотренных действующим законодательством.
8.4.Сторона, которая получает в ходе переговоров, заключения договоров, конфиденциальную информацию о персональных данных обязана возместить другой Стороне убытки, которые причинила в результате раскрытия конфиденциальной информации или использования её для своих целей.
9. Заключительные положения
9.1. Настоящее Положение утверждается и вводится в действие приказом генерального директора Общества, является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников, клиентов, поставщиков и иных лиц, указанных в настоящем Положении.
9.2.Положение вступает в силу с даты издания приказа генерального директора Общества о принятии Положения. Срок действия данного Положения не ограничен.
9.3.В Положение могут быть внесены изменения и/или дополнения. Все изменения и/или дополнения к настоящему Положению являются действительными, если они совершены в письменной форме и утверждены приказом руководителя Общества.
9.4.Настоящее Положение может утратить силу досрочно как противоречащее действующему законодательству Российской Федерации и локальным нормативным актам Общества.
9.5.Все споры, связанные со сбором, хранением, обработкой и передачей персональных данных, возникающие между участниками трудовых отношений, решаются в порядке, определенном действующим законодательством по месту нахождения Общества.
7.1. Субъекты персональных данных имеют право на получение информации, указанной в п. 3.3.2 Положения, а также обращаться с требованием об уничтожении персональных данных в соответствии с п. 3.3.3 Положения.
7.2. Сведения, предоставляемые в порядке п. 7.1. Положения, предоставляются субъекту персональных данных или его представителю в доступной форме. В них не должны содержаться персональные данные, относящиеся к иным субъектам, за исключением наличия правовых оснований для такого раскрытия данных.
Срок предоставления сведений – 10 (десять)рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае, если сведения, указанные в п. 7.1. Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 7.1. Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30-дневного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен также содержать обоснование направления повторного запроса.
Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего требованиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
7.3. Субъект персональных данных вправе в любое время отозвать согласие на обработку персональных данных, подписав собственноручной подписью, направив в письменной форме запрос по адресу Общества:121205, город Москва, территория Сколково инновационного центра, улица Нобеля, дом 7, этаж 4 чп 25 рм 2. При этом, отзыв согласия не должен влиять на законность обработки персональным данных, основанных на согласии до его отзыва.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Общество РФ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Закона о персональных данных.
8. Ответственность участников правоотношений по работе с персональными данными
8.1.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.2.К работнику Общества, ответственному за хранение персональных данных в Обществе, Общество вправе применить одно из дисциплинарных взысканий, предусмотренных ст. 192 ТК РФ: замечание, выговор, увольнение. Работодатель вправе по своей инициативе расторгнуть трудовой договор при разглашении охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей.
8.3.Персональные данные являются одним из видов охраняемой законом тайны, и защита их конфиденциальности, согласно которой в ситуации, если лицо, имеющее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, административный штраф будет начислен в размерах, предусмотренных действующим законодательством.
8.4.Сторона, которая получает в ходе переговоров, заключения договоров, конфиденциальную информацию о персональных данных обязана возместить другой Стороне убытки, которые причинила в результате раскрытия конфиденциальной информации или использования её для своих целей.
9. Заключительные положения
9.1. Настоящее Положение утверждается и вводится в действие приказом генерального директора Общества, является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников, клиентов, поставщиков и иных лиц, указанных в настоящем Положении.
9.2.Положение вступает в силу с даты издания приказа генерального директора Общества о принятии Положения. Срок действия данного Положения не ограничен.
9.3.В Положение могут быть внесены изменения и/или дополнения. Все изменения и/или дополнения к настоящему Положению являются действительными, если они совершены в письменной форме и утверждены приказом руководителя Общества.
9.4.Настоящее Положение может утратить силу досрочно как противоречащее действующему законодательству Российской Федерации и локальным нормативным актам Общества.
9.5.Все споры, связанные со сбором, хранением, обработкой и передачей персональных данных, возникающие между участниками трудовых отношений, решаются в порядке, определенном действующим законодательством по месту нахождения Общества.