- Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
- Оператор ПДн (Оператор) – ИП Тарасова Ольга Сергеевна (ИНН 781705902112), который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
- Субъекты ПДн – работники, лица, ранее состоящие в трудовых отношениях с Оператором (бывшие работники), кандидаты на вакантные должности, пользователи сайта, клиенты (физические лица), работники или представители клиентов (юридических лиц), иные лица, чьи данные обрабатываются Оператором. Сайт Оператора (Сайт) – веб-сайт с доменом https://ot-hrstudio.ru, а также его поддомены.
- Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
- Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
- Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн.
- Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств
- Уполномоченный орган – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или иные государственные (муниципальные) органы, осуществляющие контроль (надзор) и иные функции в сфере защиты ПДн.
- Закон о ПДн – Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
- Настоящая Политика в отношении обработки ПДн (далее – Политика) является основополагающим документом, определяющим цели, правовые основания обработки ПДн, категории Субъектов ПДн, основные права и обязанности Оператора и Субъектов ПДн, объем и категории обрабатываемых ПДн, порядок и условия обработки ПДн, а также меры по обеспечению безопасности ПДн при их обработке.
2. ОБЩИЕ ПОЛОЖЕНИЯ- Политика размещена для общего доступа на Сайте Оператора, а также доступна работникам и иным лицам для ознакомления на материальном носителе по запросу у Оператора.
- Оператор оставляет за собой право в любое время обновлять и изменять Политику.
- Политика вступает в силу со дня ее утверждения Оператором.
3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХОператор вправе:
- обрабатывать ПДн Субъекта в соответствии с заявленной целью;
- поручать обработку ПДн другому лицу на основании заключаемого с этим лицом договора. Оператор может поручить обработку данных другому лицу только для достижения соответствующей цели обработки данных, а также в рамках перечня ПДн, указанного в Приложении № 1 к настоящей Политике применительно к соответствующей цели обработки. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о ПДн, а также настоящей Политикой. В случае если Оператор поручает обработку ПДн другому лицу, ответственность перед Субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие Субъекта ПДн на обработку его данных и несет ответственность перед Оператором;
- передавать ПДн третьим лицам. Передача возможна только для достижения соответствующей цели обработки данных, а также в случаях, предусмотренных законодательством (например, передача данных по запросу правоохранительных органов). Передача данных возможна только в рамках перечня ПДн, указанного в Приложении № 1 к настоящей Политике применительно к соответствующей цели обработки;
- в случае отзыва Субъектом ПДн согласия на обработку ПДн продолжить обработку при наличии иных оснований, указанных в Законе о ПДн.
Оператор обязан:
- обрабатывать ПДн только при наличии законных оснований;
- принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- отвечать на обращения и запросы Субъектов ПДн и их законных представителей, а также Уполномоченного органа в соответствии с требованиями Закона о ПДн и настоящей Политики;
- при сборе ПДн обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
- Субъект ПДн вправе:свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку;
- отзывать свое согласие на обработку ПДн способом, предусмотренным согласием на обработку ПДн;
- получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами;
- требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.
Субъекты ПДн обязаны:
- в целях обеспечения точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн сообщать достоверную информацию о себе и незамедлительно уведомлять Оператора об изменении своих ПДн, ранее представленных ему.
4. ЦЕЛИ ОБРАБОТКИ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРЕЧЕНЬ, СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ4.1. Оператор обрабатывает ПДн Субъектов для достижения конкретных, заранее определенных и законных целей. Список целей обработки ПДн и соответствующие им категории и перечень обрабатываемых ПДн, категории Субъектов ПДн, способы, сроки обработки и хранения ПДн указаны в Приложении № 1 к настоящей Политике.
4.2. Оператор осуществляет обработку ПДн, указанных в Приложении № 1, как с использованием, так и без использования средств автоматизации.
4.3. Оператор использует файлы cookie и иные аналогичные технологии (далее – Cookie-файлы). Cookie-файлы Оператор использует для отслеживания активности пользователей Сайта и хранения информации. Сookie-файлы представляют собой файлы с небольшим количеством данных, которые могут включать анонимный уникальный идентификатор. Cookie-файлы отправляются в браузер с Сайта и хранятся на устройстве пользователя. Собранная при помощи Cookie информация помогает улучшить работу Сайта. Пользователь может отказаться от всех Cookie-файлов при изменении настроек браузера. При отказе от использования Cookie-файлов пользователь соглашается с тем, что некоторые части (функции) сайта могут быть ему недоступны для использования.
4.4. Посещая Сайт, Субъект ПДн дает согласие на обработку Cookie-файлов с использованием метрических и иных подобных сервисов (например, Яндекс.Метрика) для аналитики и повышения уровня работы соответствующего Сайта, а также иных целей, если это предусмотрено в Приложении № 1.
4.5. Оператор не обрабатывает биометрические категории ПДн.
4.6. Оператор может обрабатывать специальные категории ПДн (состояние здоровья) исключительно в рамках трудовых отношений и в иных случаях, установленных законодательством.
4.7. Оператор осуществляет уничтожение ПДн, указанных в Приложении № 1, при достижении цели обработки, истечения срока обработки или наступлении иных обстоятельств в соответствии с требованиями Уполномоченного органа, в том числе составляет соответствующий акт. После утверждения акта ПДн подлежат уничтожению встроенными средствами информационной системы ПДн (при автоматизированной обработке данных), либо уничтожается материальный носитель, содержащий ПДн, либо изменяется его содержание (при обработке данных без использования средств автоматизации).
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. Правовыми основаниями обработки ПДн для достижения целей, указанных в Приложении № 1, являются:
5.1.1. Федеральные законы и принятые на их основе нормативно-правовые акты, регулирующие отношения, связанные с деятельностью Оператора:
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 28.12.2013 N 400-ФЗ «О страховых пенсиях»;
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Иные нормативно-правовые акты.
5.1.2. Договоры, стороной которых либо выгодоприобретателем, либо поручителем по которым является Субъект ПДн;
5.1.3. Локальные нормативные акты и внутренние документы Оператора;
5.1.4. Согласие на обработку ПДн.
5.2. Оператор также вправе осуществлять обработку ПДн в следующих случаях:
- В случаях, когда обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем.
- В случаях, когда обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, если при этом не нарушаются права и свободы Субъекта, в т.ч. в соответствии с локальными нормативными актами и иными внутренними нормативными документами Оператора.
- Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
- Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
- Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта ПДн, если получение согласия субъекта ПДн невозможно.
- В иных случаях, допустимых в соответствии с Законом о ПДн.
6. ВЫПОЛНЕНИЕ ОПЕРАТОРОМ ОБЯЗАННОСТЕЙ ПРИ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.
6.2. Оператором применяются, в частности, следующие меры по обеспечению выполнения обязанностей, предусмотренных Законом о ПДн, в области обработки ПДн:
- назначается лицо, ответственное за организацию обработки ПДн;
- издаются Политика в отношении обработки ПДн, иные локальные акты по вопросам обработки ПДн;
- осуществляется проверка наличия в договорах с контрагентами и включение при необходимости в договоры пунктов об обеспечении безопасности ПДн, в том числе при поручении обработки данных;
- обеспечивается физическая безопасность помещений и средств обработки ПДн, пропускной режим, охрана. При хранении материальных носителей ПДн Оператором соблюдаются условия по обеспечению сохранности ПДн и исключающие несанкционированный доступ к ним. В частности, документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями;
- осуществляется внутренний контроль и аудит соответствия обработки персональных Закону о ПДн, Политике, внутренним нормативным документам Оператора;
- проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн;
- осуществляется ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, настоящей Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
6.3. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, в частности:
- определяются угрозы безопасности ПДн при их обработке в информационных системах ПДн;
- применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивают установленные Правительством Российской Федерации уровни защищенности ПДн;
- применяются средства защиты информации (антивирусы на устройствах и другие средства);
- ведется учет машинных носителей ПДн;
- проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;
- обеспечивается возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе ПДн (например, установление паролей), а также обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в информационной системе ПДн;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.
7. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При получении запроса от Субъекта ПДн, его представителя или запроса Уполномоченного органа с информацией, что обрабатываемые ПДн являются неполными, неточными или неактуальными, Оператор осуществляет блокирование ПДн и организует проверку изложенных в запросе сведений. В случае подтверждения информации Оператор обязан внести в ПДн необходимые изменения (уточнения) в срок, не превышающий 7 рабочих дней со дня получения такого запроса, при этом блокирование ПДн снимается.
7.2. В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн.
7.3. Оператор обязан уведомить субъекта ПДн, его представителя или Уполномоченный орган о внесенных изменениях и предпринятых мерах, указанных в п. 7.1, 7.2 Политики, и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
7.4. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос Уполномоченного органа были направлены Уполномоченным органом, также указанный орган.
7.5. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку Оператор в срок, не превышающий 30 дней, уничтожает ПДн или обеспечивает уничтожение такой обработки другим лицом (если обработка осуществляется другим лицом, действующим по поручению Оператора), за исключением случаев, если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, либо если у Оператора нет других оснований для обработки ПДн.
7.6. В случае обращения Субъекта ПДн с требованием о прекращении обработки его ПДн Оператор обязуется в срок, не превышающий 10 рабочих дней с даты получения указанного требования, прекратить обработку ПДн или обеспечивает прекращение такой обработки другим лицом (если обработка осуществляется другим лицом, действующим по поручению Оператора), за исключением случаев, если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, либо если у Оператора нет других оснований для обработки ПДн.
7.7. Запросы и сведения, указанные в настоящем разделе Политики, считаются полученными от Субъекта ПДн или его представителя, если они предоставлены в виде письма на бумажном носителе за подписью Субъекта ПДн или его представителя либо предоставлены иным способом, который дает Оператору основания полагать, что запрос и сведения направлены непосредственно самим Субъектом ПДн или его представителем.
8. РАССМОТРЕНИЕ ОБРАЩЕНИЙ И ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И УПОЛНОМОЧЕННОГО ОРГАНА8.1. Обращения и запросы на получение информации, касающейся обработки персональных данных Субъектов, могут быть переданы Субъектами ПДн или их законными представителями Оператору лично или направлены по контактным адресам, указанным в настоящей Политике.
8.2. Ответ на обращение (запрос) Субъекта ПДн, а также на запрос Уполномоченного органа, предоставляется Оператором в течение 10 (десяти) рабочих дней с момента их получения. Срок предоставления информации может быть продлен на 5 (пять) рабочих дней при наличии мотивированного запроса Оператора.
8.3. Обращение или запрос Субъекта ПДн должны содержать:
- номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие отношения Субъекта ПДн с Оператором, либо сведения, иным образом подтверждающие факт обработки Оператором персональной информации;
- подпись Субъекта ПДн или его представителя.
8.4. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки ПДн Оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к данному Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления Субъектом ПДн прав, предусмотренных Законом о ПДн;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о ПДн.
8.5. Оператор вправе отказать Субъекту ПДн в предоставлении доступа к информации об обработке его ПДн, если предоставление такой информации нарушает права и законные интересы третьих лиц, а также в иных случаях, установленных законодательством РФ.
8.6. Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения информации, касающейся обработки его персональной информации, а также в целях ознакомления с обрабатываемой персональной информацией ранее, чем через 30 (тридцать) дней после первоначального обращения или запроса только в случае, если такая информация или обрабатываемая персональная информация не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование его направления.
8.7. Оператор вправе отказать Субъекту ПДн в выполнении запроса, не соответствующего условиям, описанным в пункте
8.6 Политики. Отказ должен быть мотивированным.
9. КОНТАКТНЫЕ ДАННЫЕ ОПЕРАТОРА9.1. Контактная информация:
- Почтовый адрес для направления обращений и запросов: 196650, Россия, г. Санкт-Петербург, г Колпино, Павловская ул, д. 74 литера А, кв. 70.
- Электронный адрес для направления обращений и запросов: o.tarasova@ot-hrstudio.ru.