Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
1. Общие положения
1.1. ООО «ЮСИЭМЭС Групп» (далее – Компания) является зарегистрированным Оператором, осуществляющим обработку персональных данных, – регистрационная запись в Реестре операторов № 09-0036557, Приказ № 22.
1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Компания.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Компании как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика опубликована в свободном доступе на сайте Компании (https://www.ucmsgroup.ru/).
1.6. Компания имеет право вносить изменения в настоящую Политику в одностороннем порядке. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения генеральным директором. Настоящая Политика распространяет свое действие для третьих лиц с момента ее размещения на сайте.
2. Термины и определения
персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных;
оператор персональных данных (оператор) в общих целях – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
оператор персональных данных (оператор) в целях настоящей Политики — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных, в том числе:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687);
Постановление от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 N 71166);
Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 N 236
иные нормативные правовые акты и нормативные документы уполномоченных органов государственной власти, регулирующие отношения по обработке персональных данных в рамках деятельности Компании.
3.2. Правовым основанием обработки персональных данных также являются:
устав Компании
Локальные нормативные акты Компании
положения по обработке и защите персональных данных: клиентов, работников, кандидатов на трудоустройство, сотрудников контрагентов и иных физических лиц;
согласия на обработку персональных данных: клиентов, работников, кандидатов на трудоустройство, сотрудников контрагентов и иных физических лиц;
договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4. Цели обработки, субъекты и категории обрабатываемых персональных данных
4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. В Компании не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные определенных категорий субъектов, которые отвечают установленным целям обработки:
Категории субъектов
Цели обработки
работники Компании
обеспечение соблюдения требований законодательства РФ, заключение с Обществом трудового договора и дальнейшего исполнения его;
ведение кадрового делопроизводства;
расчет и начисление заработной платы и иных выплат;
организация пропускного режима;
организация командировок (в том числе бронирование гостиницы и покупка билетов);
организация страхования выезжающих за рубеж, страхование ДМС;
представление информации в государственные органы, в рамках исполнения Обществом, возложенных законодательством РФ обязанностей;
осуществление процессов технического обслуживания и организации доступа к локальным информационным системам ООО «ЮСИЭМЭС Групп».
родственники работников Компании
ведение кадрового делопроизводства;
уволенные работники Компании
обеспечение соблюдения требований законодательства РФ
ведение кадрового делопроизводства
контрагенты
обеспечение соблюдения требований законодательства РФ
представители контрагентов
обеспечение соблюдения требований законодательства РФ
посетители сайта.
обеспечение соблюдения требований законодательства РФ
4.3. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
данные, полученные при осуществлении трудовых отношений
данные, полученные для осуществления отбора кандидатов на работу;
данные, полученные при осуществлении гражданско-правовых отношений.
Подробный перечень обрабатываемых ПДн содержится во внутренних локальных нормативных актах Компании.
4.5. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется с учетом особых требований в соответствии с законодательством Российской Федерации.
4.6. Компания не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4.7. Компания не осуществляет трансграничную передачу данных
6. Порядок, способы и условия обработки персональных данных
6.1. Общие условия
6.1.1. Компания осуществляет обработку персональных данных в соответствии с требованиями законодательства Российской Федерации.
6.1.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
6.1.3. К обработке персональных данных допускаются работники Компании в соответствии с действующим приказом о допуске к обработке ПДн.
6.1.4. Обработка персональных данных для каждой цели их обработки осуществляется следующими способами:
обработка с\без передачи по внутренней сети, а также с\без передачи по сети Интернет.
6.1.5. Обработка персональных данных для каждой цели обработки, указанной в п. 4.2 Политики, осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
внесения персональных данных в журналы, реестры и информационные системы Компании;
использования иных способов обработки персональных данных.
6.1.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
6.1.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
6.2. Меры защиты персональных данных
Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
Назначено лицо, ответственное за организацию обработки персональных данных;
разработаны и изданы локальные нормативные акты и положения, определяющие политику оператора в отношении обработки персональных данных (в том числе процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений);
осуществляется внутренний контроль соответствия обработки персональных данных требованиям законов и нормативных правовых актов, требованиям к защите персональных данных, положениям Общества в отношении обработки персональных данных, локальным актам Общества;
проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона (в рамках моделирования угроз безопасности персональных данных);
организован процесс ознакомления и обучения непосредственно осуществляющих обработку персональных данных сотрудников компании, правилам работы с персональными данными до предоставления доступа в ИСПДн;
определены угрозы безопасности персональных данных при их обработке в ИСПДн;
введены и реализованы организационные и технические меры по обеспечению безопасности персональных данных согласно приказу ФСТЭК №21;
применяются средства защиты информации;
производится регулярная оценка эффективности применяемых мер по обеспечению безопасности персональных данных;
производится учёт машинных носителей;
осуществляется автоматический мониторинг инфраструктуры Общества с целью обнаружения фактов несанкционированного доступа к персональным данным и принятия превентивных мер по его предотвращению;
Разработаны организационные и технические меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
организован процесс предоставления доступа к персональным данным на основе матрицы доступа в информационные системы персональных данных;
реализовано обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
выполняется постоянный контроль уровня защищенности информационных систем персональных данных.
6.3. Хранение ПДн
6.3.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
6.3.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа в течение установленных сроков хранения (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
6.3.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных электронных папках на серверах Компании.
6.3.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
7.5. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.
6.3.6. Компания осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
6.4. Прекращение обработки ПДн
6.4.1. Прекращение обработки персональных данных осуществляется в Компании в следующих случаях:
выявлен факт их неправомерной обработки; срок — в течение трех рабочих дней с даты выявления;
достигнута цель их обработки;
отзыв согласия на обработку субъектом персональных данных;
по истечении срока, предусмотренного законом, договором, или согласием субъекта персональных данных на обработку его персональных данных.
ликвидация Компании.
6.4.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку (Приложение 1), Компания прекращает обработку этих данных, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Компанией и субъектом персональных данных.
6.4.3. Субъект персональных данных имеет право обратиться в Компанию с требованием о прекращении обработки его персональных данных (Приложение 2). В этом случае обработка персональных данных прекращается в срок, не превышающий 10 рабочих дней с даты получения требования, за исключением случаев, предусмотренных Законом о персональных данных.
6.5. Обращение субъекта ПДн
Субъект персональных данных имеет право обратиться в Компанию с запросом на получение информации, касающейся обработки его ПДн (ч. 7 ст. 14 Закона о персональных данных). Компания предоставляет данные сведения субъекту персональных данных или его представителю в срок, не превышающий 10 рабочих дней со дня обращения либо получения запроса (Приложение 3) субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Компания безвозмездно предоставляет субъекту персональных данных (или его надлежаще уполномоченному в силу доверенности или закона представителю) возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Компания предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. Блокирование
Блокирование ПДн осуществляется в случае выявления неточных персональных данных или выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора.
Сроки блокирования – ПДн блокируются с момента обращения\запроса субъекта персональных данных или его представителя или по запросу Роскомнадзора — на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
Разблокировка возможна на основании сведений или иных необходимых документов, представленных субъектом персональных данных или его представителем либо Роскомнадзором, в течение семи рабочих дней со дня представления таких сведений.
6.7. Расследование инцидентов
При выявлении Компанией, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Компания:
в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.8. Уничтожение
6.8.1. Условия и сроки уничтожения персональных данных в Компании:
достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;
достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней;
предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в срок, не превышающий 7 рабочих дней;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней.
6.8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Компанией и субъектом персональных данных.
6.8.3. Ответственные лица, порядок и способы уничтожения персональных данных установлены в локальных нормативных актах Компании.
6.9. Обработка персональных данных посетителей сайта Компании
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
во исполнение условий заключаемых гражданско-правовых договоров в рамках осуществляемой деятельности, исключительно по письменному поручению стороны такого договора (далее- Клиент), при условии соблюдения требований о передаче персональных данных таким лицом выступать в качестве оператора персональных данных работников и /или иных лиц на стороне Клиента, а также, если в силу обстоятельств применимо, поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законом о персональных данных.
7.2. Обязанности Компании
организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Законом о персональных данных;
сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Компании необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
7.3. Права субъекта персональных данных
получать информацию, касающуюся обработки его персональных данных в соответствии с Законом о ПДн, за исключением случаев, предусмотренных федеральными законами, в т.ч. содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
требовать от Компании уточнения его персональных данных (Приложение 4), их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
дать предварительное согласие на обработку персональных данных в целях продвижения на рынке работ и услуг;
обжаловать действия (бездействия) Компании, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
на защиту своих прав и законных интересов, в т.ч. в судебном порядке.
8. Заключительные положения
8.1. Контроль за исполнением требований настоящей Политики осуществляет ответственный за организацию обработки персональных данных – генеральный директор Компании.
8.2. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Компании в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
Запрос предложения
Запрос предложения
Обратная связь
Остались вопросы?
Заказать услугу
Заказать услугу.
Подписка на новости
Подписка на новости.
Подписка на Блог
Подписка на Блог.
Обратная связь
Остались вопросы?
Спасибо
Спасибо за ваше время.
Ваша заявка принята. В ближайщее время наши менеджеры с вами свяжуться. Большое спасибо за сообщение
Спасибо за ваше время.
В ближайщее время наши менеджеры с вами свяжуться. Большое спасибо за сообщение
На сайте UCMS Group используются файлы cookies с целью персонализации и для улучшения работы сайта. Оставаясь на нашем сайте, вы соглашаетесь с условиями
использования файлов cookies. Чтобы ознакомиться с нашей Политикой об обработке и защите персональных данных, нажмите здесь.