Общие положения.
- Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Настоящая Политика устанавливает совокупность принципов и норм, регламентирующих работу по обработке и защите персональных данных, реализуемых в ООО "ХайрингТэлэнтс" (далее – «Оператор»).
- Настоящая Политика разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов Российской Федерации.
- Оператор обязан опубликовать настоящую Политику или иным образом обеспечить неограниченный доступ к ней.
- В настоящей Политике используются следующие понятия:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных;
- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определённому кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- пользователь услуг Оператора – физическое или юридическое лицо, пользующееся услугами, оказываемыми Оператором;
- конфиденциальность персональных данных- обязательное для соблюдения Оператором требование не раскрывать третьим лицам, не распространять, не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
- представитель субъекта персональных данных – представитель субъекта персональных данных, определяемый в соответствии с положениями действующего законодательства.
- Персональные данные субъектов персональных данных относятся к категории информации конфиденциального характера, за исключением случаев, предусмотренных действующим законодательством.
- Цели обработки персональных данных.
- Обработка персональных данных субъектов персональных данных осуществляется Оператором в целях:
- исполнения положений Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, Налогового кодекса Российской Федерации и других нормативных актов Российской Федерации;
- принятия решения о трудоустройстве кандидата на работу у Оператора или клиента услуг Оператора;
- заключения и выполнения обязательств по трудовым договорам, договорам негосударственного пенсионного обеспечения, договорам об обязательном пенсионном страховании;
- заключения и выполнения обязательств по гражданско-правовым договорам на оказание услуг, оказываемых Оператором.
III. Принципы и условия обработки персональных данных
- Обработка персональных данных у Оператора учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны и основана на следующих принципах:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только те персональные данные, которые отвечают целям обработки;
- содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные должны быть уничтожены либо обезличены по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Обработка персональных данных у Оператора осуществляется в случаях:
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- с согласия субъекта персональных данных на обработку его персональных данных (в случаях, предусмотренных законодательством, используется письменная форма согласия, составленная в основном по форме, изложенной в Положении по обработке и защите персональных данных ООО "Хайринг Тэлэнтс";
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в иных случаях, предусмотренных законодательством Российской Федерации.
- Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством об отдельных видах страхования, со страховым законодательством;
- в иных случаях, предусмотренных законодательством Российской Федерации.
- Биометрические персональные данные могут обрабатываться у Оператора только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, когда обработка биометрических персональных данных осуществляется в связи с реализацией международных договоров Российской Федерации ореадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации и иных случаях, предусмотренных законом.
У Оператора не обрабатываются биометрические персональные данные, за исключением фотографического изображения субъекта персональных данных при соблюдении предусмотренных законодательством условий.
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Трансграничная передача персональных данных у Оператора может осуществляться только с ограничениями и в соответствии с процедурами, предусмотренными действующим законодательством.
- У Оператора в целях информационного обеспечения могут использоваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных органов.
- Оператор вправе осуществлять обработку персональных данных по поручению другого лица (оператора), если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом (оператором) договора, в том числе государственного или муниципального контракта, либо на основании принятого государственным или муниципальным органом соответствующего акта (далее - поручение оператора).
Общество, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться Обществом, и цели обработки персональных данных, должна быть установлена обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
- Оператор, осуществляющий обработку персональных данных по поручению другого лица, которое является оператором персональных данных, не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
- В случае, если другое лицо, являющееся оператором персональных данных, поручает обработку персональных данных Оператору, ответственность перед субъектом персональных данных за действия Общества несёт данное лицо. Оператор несёт ответственность перед лицом, поручившим Оператору обработку персональных данных.
- При обработке персональных данных Оператор обязан обеспечить их конфиденциальность, т.е. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Субъекты персональных данных
- Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- работник Оператора, соискатель на замещение вакантных должностей Оператора, бывший работник Оператора;
- пользователь услуг (физическое лицо) Оператора;
- работник или соискатель на замещение вакантных должностей юридического лица (индивидуального предпринимателя), являющегося пользователем услуг Оператора (работник или кандидат на работу контрагента Оператора), в том числе при наличии соответствующего поручения Оператору от пользователя услуг Оператора;
- любое иное физическое лицо, персональные данные которого стали известны Оператору в силу предоставления ему со стороны Оператора социальных льгот, гарантий и компенсаций.
- Обрабатываемые персональные данные
- Оператор обрабатывает следующие категории персональных данных: фамилия, имя, отчество; число, месяц, год рождения; место рождения; адрес места жительства; семейное положение; имущественное положение; образование; профессия; индивидуальный номер налогоплательщика; данные страхового свидетельства и иные персональные данные, обрабатываемые Оператором на основании законодательства Российской Федерации и/или в соответствии с внутренними документами Оператора, в том числе Положением по обработке и защите персональных данных ООО "ХайрингТэлэнтс".
У Оператора могут обрабатываться также другие персональные данные, необходимые для достижения и реализации целей обработки, указанных в пункте 7 настоящей Политики.
- Персональные данные работников, обрабатываемые у Оператора, определяются на основании Трудового кодекса Российской Федерации и нормативных актов Оператора.
- Обработка и защита персональных данных у Оператора.
- Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
- Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, осуществляется с помощью вычислительной техники, однако такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
- К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
- Обработка персональных данных осуществляется путём:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов или копий документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников в соответствии с требованиями законодательства;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы Оператора;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой деятельности Оператора.
- Передача персональных данных третьим лицам допускается с согласия субъектов персональных данных (в случаях, предусмотренных законом - с согласия в письменной форме), за исключением случаев, когда в соответствии с законодательством такая передача допускается без согласия (в том числе в письменной форме) субъекта персональных данных.
При передаче персональных данных третьим лицам в соответствии с заключёнными договорами Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных документов Оператора в области персональных данных. Передача персональных данных в уполномоченные органы исполнительной власти (Федеральную налоговую службу Российской Федерации, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и др.) осуществляется у Оператора в соответствии с требованиями законодательства Российской Федерации.
- Хранение персональных данных у Оператора осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных у Оператора определяются в соответствии с законодательством Российской Федерации и нормативными документами Оператора.
- У Оператора запрещено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных, за исключением случаев предусмотренных федеральными законами.
- Оператор применяет необходимые и достаточные организационные и технические меры по защите персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль принимаемых мер по обеспечению безопасности и оценку эффективности принимаемых мер.
- Оператор осознаёт необходимость и заинтересован в обеспечении должного как с точки зрения требований нормативных документов Российской Федерации, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Оператора.
VII. Права субъектов персональных данных
- Субъект персональных данных имеет право:
- получать в соответствии с законодательством Российской Федерации информацию, касающуюся обработки у Оператора его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
- требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведённых в них изменениях;
- отозвать согласие на обработку своих персональных данных;
- обжаловать действия или бездействие Оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
VIII. Обязанности Оператора, как оператора персональных данных.
- Оператор при обработке персональных данных обязан:
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами Оператора.
- В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и нормативными документами Оператора, приказом Генерального директора Оператора назначается лицо, ответственное за организацию обработки персональных данных у Оператора.
- Лицо, ответственное за организацию обработки персональных данных у Оператора, получает указания непосредственно от Генерального директора Оператора и подотчётно ему.
- Лицо, ответственное за организацию обработки персональных данных у Оператора, в частности, обязано:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых у Оператора, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществлять внутренний контроль за соблюдением у Оператора требований законодательства Российской Федерации и нормативных документов Оператора в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников Оператора положений законодательства Российской Федерации о персональных данных, нормативных документов Оператора по вопросам обработки персональных данных, а также требований к защите персональных данных;
- организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений у Оператора.
- Ответственность за нарушение требований по обработке и защите персональных данных.
- Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.