1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года (ред. от 25.07.2011) и действует в отношении всех персональных данных (далее – Данных), которые ООО «Институт СМУ» (далее по тексту – Предприятие, Оператор) может получить от субъекта персональных данных, являющихся стороной по договору, в том числе лицом, посещающим официальный сайт ООО «Институт СМУ» (Пользователем сайта) в ходе исполнения ООО «Институт СМУ» любых соглашений и договоров с Пользователем, а так же от субъектов персональных данных, состоящих с Предприятием в трудовых отношениях, регулируемых трудовым законодательством (далее – Работника).
1.2. ООО «Институт СМУ» обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 15.09. 2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановления Правительства Российской Федерации от 21.03.2012 N 211"Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", нормативных документов уполномоченных органов.
1.3. Правовым основанием для обработки персональных данных является Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие деятельность ООО «Институт СМУ», в частности, но не ограничиваясь Федеральным Законом «Об основах охраны здоровья граждан в Российской Федерации", Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.08.2006 №149-ФЗ, и другими нормативными правовыми актами, регламентирующим процессы обработки персональных данных, в том числе заключаемые договоры между субъектом персональных данных и Предприятием, а также согласия на обработку персональных данных.
1.4. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств. В дополнение к настоящей Политике разработаны другие локальные нормативные акты, регламентирующие процессы обработки ПДн.
1.5. Изменение Политики.
1.5.1. Предприятие имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.5.2. Действующая редакция хранится в месте нахождения ООО «Институт СМУ» и подлежит размещению на сайте ООО «Институт СМУ».
2. Термины и принятые сокращения
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Персональные данные, сделанные общедоступными субъектом персональных данных — ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
3. Цели обработки ПД
Обработка ПДн на Предприятии осуществляется исключительно в следующих целях:
- информирование потенциальных Заказчиках об услугах Предприятия;
- предоставление услуг Заказчикам и при заключении договоров с Подрядчиками, Исполнителями, в том числе где одной из сторон является физическое лицо;
- в целях предоставления справочной, рекламной информации, смс-информировании об услугах Предприятия, согласования времени и других деталей и услуг предприятия;
- содействие работникам в трудоустройстве, обучении и продвижении по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы;
- для обратной связи с использованием официального сайта ООО «Институт СМУ»;
- обеспечение сохранности имущества предприятия;
- исполнение обязательств по договору, стороной которого либо выгодоприобретателем или Поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем
- передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
- сбор данных для принятия решения о приеме кандидата на работу и проч.
4.Обработка персональных данных
4.1. Получение ПД.
4.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.
4.1.2. Предприятие должно сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение
4.1.3. Если ПД необходимы для исполнения такого договора где стороной является субъект персональных данных, то Предприятие освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 ст.18 152-ФЗ (п2 ч4 ст18 152-ФЗ)
4.2. Документы, содержащие ПД создаются путем:
а) внесения сведений в учетные формы с оригиналов документов (данные паспорта, документа об образовании, свидетельство ИНН, пенсионное свидетельство, СНИЛС, полис обязательного медицинского страхования, свидетельства о рождении, браке и иные документы, необходимые для ведения кадрового делопроизводства и оформления трудовых отношений с работником). По необходимости для достижения поставленных целей, предприятие вправе осуществлять копирование документов с согласия субъекта персональных данных.
б) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
в) внесение данных в информационные системы в целях оформления трудовых отношений и в целях исполнения договоров, где одной из сторон является субъект ПД
г) заполнения самим субъектом ПД документов, предоставляемых Предприятием.
4.3. Предприятие устанавливает перечень персональных данных субъектов, подлежащих обработке.
4.4. Категории субъектов персональных данных:
- работники, состоящие в трудовых отношениях с юридическим лицом;
-уволенные сотрудники;
- физические лица, обращающиеся к Предприятию для оказания услуг, клиенты, контрагенты;
- иные лица, вступающие в гражданские взаимоотношения с Оператором;
- представители контрагентов Предприятия (юридических лиц).
4.5. Объем обрабатываемых персональных данных в отношении работником определяется Положениями об обработке персональных данных работников и иными внутренними локальными актами предприятия.
5. Обработка персональных данных с использованием официального сайта ООО «Институт СМУ».
5.1 Пользователь соглашается с настоящими Условиями и Политикой конфиденциальности путем ввода имени, принадлежащего ему номера телефона, а так же адреса электронной почты в специальные формы обратной связи на сайте ООО «Институт СМУ» с запросом на оформление заявки, запросом обратного звонка, получение консультации по услугам Компании, и последующего нажатия кнопки «Отправить» или «Ок».
Совершая указанные действия, Пользователь направляет принадлежащий ему телефон, адрес электронной почты ООО
«Институт СМУ» в целях дальнейшего осуществления консультации по оказываемым услугам.
Пользователь соглашается с настоящей Политикой конфиденциальности путем ввода своего номера телефона на сайте ООО «Институт СМУ» в целях информирования об услугах предприятия, оказания услуг Предприятием.
5.2. Использование указанного сайта означает безоговорочное согласие Пользователя с настоящей Политикой и условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования официального сайта ООО «Институт СМУ».
5.3. Персональная информация Пользователей, которую обрабатывает ООО «Институт СМУ» при работе через официальны сайт:
- фамилия, имя, отчество, адрес электронной почты, телефон. Обязательная для предоставления информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение.
5.4. ООО «Институт СМУ» собирает и хранит только ту персональную информацию, которая необходима для предоставления функций сайта ООО «Институт СМУ», за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
Предоставляя свои персональные данные, Пользователь соглашается на их обработку (вплоть до отзыва Пользователем своего согласия на обработку персональных данных) в целях предоставления Пользователю рекламной и справочной информации, услуг Предприятия и в иных целях.
Пользователь в любое время вправе отозвать согласие на обработку его персональных данных. Предприятие в этом случае обязано прекратить их обработку, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
Отзыв согласия на обработку персональных данных может повлечь за собой невозможность пользования формой обратной связи на сайте компании ООО «Институт СМУ».
6. Основные меры защиты ПД, используемые Предприятием.
При обработке ПДн Предприятие принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.1. Издается приказ об организации работ по обеспечению безопасности персональных данных, где назначается ответственное лицо за организацию обработки Персональных данных и назначается администратор безопасности информационных систем персональных данных.
6.2. Соблюдается действующее Положение о персональных данных работников
6.3. Утверждается инструкция пользователя ИСПДн (информационных систем), которую должны соблюдать все лица, осуществляющих работу в ИСПДн.
6.4. Устанавливаются правила доступа к ПД, обрабатываемым в ИСПД, а также обеспечения места их нахождения в недоступном от третьего круга лиц.
6.5. Сотрудниками, имеющими доступ к ПД, заключаются соглашения (обязательства) о неразглашении ПД.
7. Основные права субъекта ПД и обязанности Предприятия
7.1. Основные права субъекта ПД
Субъект имеет право на:
• доступ к его персональным данным и следующим сведениям:
o подтверждение факта обработки ПД предприятием;
o правовые основания и цели обработки ПД;
o цели и применяемые Предприятием способы обработки ПД;
o наименование и место нахождения Предприятия, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Предприятием или на основании федерального закона;
o порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом;
o наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению предприятия, если обработка поручена или будет поручена такому лицу;
• обращения к Предприятию и направлению ему запросов;
• обжалование действий или бездействия предприятия.
8. Основные обязанности Предприятия
Предприятие обязано:
• получить согласие на обработку персональных данных субъекта ПД;
• при сборе ПД предоставить информацию об обработке его ПД;
• при отказе в предоставлении ПД, субъекту разъясняются последствия такого отказа;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД а также от иных неправомерных действий в отношении ПД;
• давать ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД
Прекратить обработку ПД при наличии отзыва от субъекта персональных данных.
9. Доступ к персональным данным
Предприятие обеспечивает конфиденциальность ПДн, то есть не допускает их распространения без согласия субъекта ПДн или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПДн осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых на предприятии
9.1. В рамках настоящей Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам Предприятия.
Доступ к ПДн предоставляется только тем работникам Предприятия, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников Предприятия к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых на Предприятии. Работник Общества допускается к обработке ПДн после ознакомления его с Перечнем должностей работников, только в том случае, если занимаемая им должность указана в Перечне и только в рамках тех задач, которые он обязан осуществлять для выполнения своих служебных обязанностей.
Работник Предприятия допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Предприятия, регламентирующими обработку ПДн, и после подписания обязательства о неразглашении информации, содержащей ПДн.
9.2. Общество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Общество письменный запрос. Общество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПДн имеет право:
1. Получить сведения касающиеся обработки ПДн Обществом, а именно:
2. Потребовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;
4. Отозвать согласие на обработку ПДн в предусмотренных действующим законодательством случаях.
Право субъекта ПДн на доступ к своим данным ограничивается в случае, если предоставление ПДн нарушает права и законные интересы третьих лиц.
10. Хранение персональных данных
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
ПДн на бумажных носителях хранятся в запираемых шкафах или сейфах, помещениях.
ПДн субъектов в электронном виде обрабатываются в компьютерных сетях Общества.
11. Ответственность
Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.
12. Прочие положения
12.1. В отношении работников ООО «Институт СМУ» действует разработанное и утвержденное Положение об обработке персональных данных работников.
12.2. Все предложения или вопросы по поводу настоящей Политики субъект персональных данных вправе направить в ООО «Институт СМУ» по адресу электронной почты: info@sm-ural.com или по адресу места нахождения ООО «Институт СМУ».