ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Редакция №1

УТВЕРЖДЕНА
Приказом генерального директора
ООО «Манхайм» от 14.04.2021 года №5

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных в ООО «Манхайм» (далее — «Политика») определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ООО «Манхайм» (далее — «Компания») персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в Компании требованиях к защите персональных данных.

1.2. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также регламентации принципов и основных требований к обработке персональных данных в Компании в соответствии с нормами действующего законодательства Российской Федерации.

1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Компании, в том числе при их обработке в Информационных системах, содержащих персональные данные, разрабатываются в Компании с учетом положений настоящей Политики.

1.4. В Политике используются следующие термины:

  • Персональные данные (далее – «ПД») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
  • Обработка ПД – любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием средств автоматизации или без их использования. Обработка ПД включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
  • Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
  • Распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц;
  • Предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
  • Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
  • Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в Информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
  • Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту персональных данных;
  • Информационная система ПД – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
  • Трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

2. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ И СУБЪЕКТОВ ПД

2.1. Компания обязуется обеспечить доступность данной Политики для неограниченного числа лиц.

2.2. Должностные лица Компании, в обязанности которых входит обработка запросов и обращений субъектов ПД, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их ПД, если иное не предусмотрено законом, в соответствии с актуальной редакцией Регламента реагирования на запросы субъектов ПД, принятого в Компании.

2.3. Компания обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов ПД или иным образом затрагивающие их права и законные интересы.

2.4. Компания обязуется выполнять требования действующего законодательства Российской Федерации, предъявляемые к безопасности обработки и процесса передачи ПД, в том числе Трансграничной передачи ПД.

2.5. Компания, получив доступ к ПД, обязана не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

2.6. В целях защиты своих персональных данных, хранящихся в Компании, субъект ПД имеет право:

  • получить доступ к своим ПД;
  • получить информацию, касающуюся обработки его ПД;
  • требовать исключения или исправления неверных или неполных ПД;
  • получать свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей ПД;
  • дополнить ПД оценочного характера заявлением, выражающим его собственную точку зрения;
  • определять своих представителей для защиты своих ПД;
  • требовать сохранения и защиты своей личной и семейной тайны;
  • обжаловать в суде любые неправомерные действия или бездействия Компании при обработке и защите его ПД.

2.7. Работники Компании обязаны:

  • в случаях, предусмотренных законом или договором, передавать Компании достоверные документы, содержащие ПД;
  • не предоставлять неверные ПД, а в случае изменений в ПД, обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.) незамедлительно сообщить об этом Компании.

 

3. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПД

3.1. Обработка ПД в Компании осуществляется в целях:

  • обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации;
  • регулирования трудовых отношений с работниками Компании;
  • подготовки, заключения, исполнения и расторжения договоров с контрагентами;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с действующим законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании;
  • в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания ПД в соответствии с действующим законодательством Российской Федерации;
  • в иных законных целях.

3.2. Компания осуществляет обработку ПД работников Компании и других субъектов ПД, не состоящих с Компанией в трудовых отношениях, в соответствии со следующими принципами:

  • обработка ПД осуществляется на законной и справедливой основе;
  • обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
  • обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД;
  • не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПД, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПД соответствует заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. В Компании принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПД;
  • хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
  • обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПД

4.1. Данная Политика определяется в соответствии со следующими нормативными правовыми актами:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Трудовой кодекс Российской Федерации;
  • Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 “Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных”;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4.2. В целях реализации положений Политики в Компании разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

  • положение о порядке хранения и обработке ПД работников Компании;
  • положение об обеспечении безопасности ПД при их обработке в информационных системах ПД Компании;
  • иные локальные нормативные акты и документы, регламентирующие вопросы обработки ПД в Компании.

 

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПД. КАТЕГОРИИ СУБЪЕКТОВ ПД

5.1. Объем ПД, обрабатываемых в Компании, определяется в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки ПД, указанных в разделе 3 настоящей Политики.

5.2. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.

5.3. В Компании обрабатываются ПД следующих категорий субъектов:

  • кандидатов, работников, ближайших родственников работников и лиц, ранее состоявших в трудовых отношениях с Компанией;
  • физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;
  • контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц).

5.4. Объем обрабатываемых ПД кандидатов на принятие на работу в Компанию:

  • общие сведения (Ф.И.О. кандидата, дата рождения, место рождения, пол, гражданство, сведения об образовании, сведения о владении иностранными языками, семейное положение, состав семьи, адрес места жительства, контактный номер телефона);
  • сведения о трудовой деятельности;
  • сведения о воинском учете;
  • прочих сведений, предоставляемых кандидатами самостоятельно, обработка которых не противоречит настоящей Политике.

5.5. Обработка ПД кандидатов на принятие на работу в Компанию осуществляется в целях определения возможности принятия кандидатов на работу в Компанию.

5.6. Объем обрабатываемых ПД работников Компании:

  • общие сведения (Ф.И.О. работника, дата рождения, место рождения, пол, гражданство, сведения об образовании, сведения о владении иностранными языками, семейное положение, состав семьи, паспортные данные, адрес места жительства, контактный номер телефона);
  • сведения о трудовой деятельности;
  • сведения о воинском учете;
  • банковские реквизиты работника, необходимые для перечисления заработной платы;
  • биометрические данные работника;
  • прочие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства Российской Федерации;
  • сведения о переводах на другую работу;
  • сведения об аттестации, повышении квалификации, профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об инвалидности;
  • сведения медицинских заключений;
  • сведения о социальных льготах, на которые работник имеет право в соответствии с действующим законодательством Российской Федерации.

5.7. Обработка ПД работников Компании осуществляется в целях:

  • ведения кадрового учета;
  • реализации контроля и учета доступа в офисные помещения Компании;
  • учета рабочего времени работников;
  • расчета заработной платы работников;
  • ведения налогового учета;
  • ведения воинского учета;
  • предоставления в государственные органы регламентированной отчетности;
  • обязательного и добровольного медицинского страхования работников;
  • бронирования и оплаты билетов на различные виды транспорта и гостиничных номеров работникам при направлении их в служебные командировки;
  • архивного хранения данных;
  • содействия работнику в трудоустройстве, обучении, продвижении по службе, использовании различных льгот, предусмотренных локальными нормативными актами Компании и действующим законодательством Российской Федерации.

5.8. Объем обрабатываемых ПД ближайших родственников работников Компании:

  • общие сведения (Ф.И.О. и дата рождения ближайшего родственника, пол, данные документов, удостоверяющих личность, контактный номер телефона)

5.9. Обработка ПД ближайших родственников работников Компании осуществляется в целях:

  • расчета выплат в рамках системы социальных гарантий в соответствии с действующим законодательством Российской Федерации;
  • предоставления в государственные органы регламентированной отчетности;
  • архивного хранения данных;
  • содействия работнику в использовании различных льгот, предусмотренных локальными нормативными актами Компании и действующим законодательством Российской Федерации.

5.10. Объем обрабатываемых ПД физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности, а также контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц) определяется в соответствии с внутренними нормативными документами Компании на основании утвержденных форм документов (договоров, регламентов, заявок и т.п.).

5.11. Обработка ПД физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности, а также контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц) осуществляется в целях:

  • реализации уставных целей Компании;
  • исполнение договоров, стороной которых, выгодоприобретателем или поручителем по которым является субъект ПД;
  • осуществление сделок в соответствии с действующим законодательством Российской Федерации.

 

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПД

6.1. Компания при осуществлении обработки ПД:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований действующего законодательства Российской Федерации и локальных нормативных актов Компании в области ПД;
  • принимает правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
  • назначает лицо, ответственное за организацию обработки ПД в Компании;
  • издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПД в Компании;
  • осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку ПД, с положениями действующего законодательства Российской Федерации и локальных нормативных актов Компании в области ПД, в том числе требованиями к защите ПД, и обучение указанных работников;
  • публикует на официальном сайте Компании или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  • сообщает в установленном порядке субъектам ПД или их законным представителям информацию о наличии ПД, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПД при обращении и (или) поступлении запросов указанных субъектов ПД или их представителей, если иное не установлено действующим законодательством Российской Федерации;
  • прекращает обработку и уничтожает ПД в случаях, предусмотренных действующим законодательством Российской Федерации в области ПД;
  • совершает иные действия, предусмотренные действующим законодательством Российской Федерации в области ПД.

6.2. Обработка ПД в Компании осуществляется с согласия субъекта ПД на обработку его ПД, если иное не предусмотрено действующим законодательством Российской Федерации в области ПД.

6.3. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПД.

6.4. Обработка ПД в Компании осуществляется следующими способами:

  • без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
  • автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

6.5. Для отдельных категорий ПД, обрабатываемых Компанией, допускается Трансграничная передача ПД в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства (в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274) с согласия субъекта ПД в письменной форме.

 

7. АКТУАЛИЗАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПД.
ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПД

7.1. Сроки хранения ПД в Компании определяются в соответствии с действующим законодательством Российской Федерации и зависят от состава обрабатываемых данных.

7.2. В случае предоставления субъектом ПД фактов о неполных, устаревших, недостоверных или незаконно полученных ПД Компания обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПД.

7.3. В случае подтверждения факта неточности ПД они подлежат их актуализации Компанией, а или неправомерности их обработки такая обработка должна быть прекращена.

7.4. При достижении целей обработки ПД, а также в случае истечения срока согласия на обработку ПД или отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению, если:

  • Компания не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных» или иными федеральными законами Российской Федерации;
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;
  • иное не предусмотрено иным соглашением между Компанией и субъектом ПД.

7.5. ПД подлежат уничтожению при получении соответствующего предписания от уполномоченного органа по защите прав субъектов ПД вне зависимости от оставшегося срока согласия на обработку ПД.

7.6. Компания обязана сообщить субъекту ПД или его законному представителю информацию об осуществляемой обработке ПД такого субъекта по запросу последнего в соответствии с актуальной редакцией Регламента реагирования на запросы субъектов ПД, принятого в Компании.