Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика принята в целях реализации требований законодательства Российской Федерации в области обработки персональных данных (далее – ПДн) субъектов Пдн.
1.2. Основные понятия, используемые в Политике:
субъект персональных данных— физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Настоящая Политика характеризуется следующими признаками:
1.3.1. Политика раскрывает принципы обработки ООО «ИнфоЛинк» Пдн, совершаемых с использованием средств автоматизации или без их использования, права и обязанности оператора персональных данных ООО «ИнфоЛинк» при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых ООО «ИнфоЛинк» в целях обеспечения безопасности ПДн при их обработке.
1.3.2. Положения Политики распространяются на отношения по обработке и обеспечению безопасности ПДн, полученных ООО «ИнфоЛинк» как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и обеспечению безопасности ПДн, полученных до ее утверждения.
1.3.3. Политика является общедоступным документом, декларирующим концептуальные основы деятельности ООО «ИнфоЛинк» при обработке и обеспечению безопасности Пдн, совершаемых с использованием средств автоматизации или без их использования.
1.4. Если в отношениях с ООО «ИнфоЛинк» участвуют законные представители субъектов ПДн, то ООО «ИнфоЛинк» становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие локальные акты ООО «ИнфоЛинк» распространяются на случаи обработки и обеспечения безопасности ПДн законных представителей субъектов ПДн, даже если эти лица в локальных актах прямо не упоминаются, но фактически участвуют в правоотношениях с ООО «ИнфоЛинк».
1.5. ООО «ИнфоЛинк» до начала обработки ПДн осуществляет уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн. ООО «ИнфоЛинк» уведомляет уполномоченный орган по защите прав субъектов ПДн об изменении сведений, поданных ранее, согласно требованиям Федерального закона № 152-ФЗ.
2. Информация об операторе
Полное наименование: Общество с ограниченной ответственностью «ИнфоЛинк».
ИНН: 5906127485.
Юридический адрес: 614066, Пермский край, г. Пермь, ул. Чайковского, д. 33, офис 317.
3. Правовые основания обработки ПДн
3.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (подпункт 1 пункта 1 статьи 6 Федерального закона № 152-ФЗ);
3.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (подпункт 2 пункта 1 статьи 6 Федерального закона № 152-ФЗ);
3.3. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных (подпункт 5 пункта 1 статьи 6 Федерального закона №152-ФЗ).
4. Цели сбора ПДн
ПДн обрабатываются ООО «ИнфоЛинк» в целях осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в частности:
выполнение требований законодательства в сфере труда и налогообложения;
ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
ведение кадрового электронного документооборота (далее — КЭДО) ООО «ИнфоЛинк» с использованием сервиса Битрикс24.КЭДО;
предоставление услуг или рассмотрение возможности их предоставления — анализ потребностей клиента, подготовка коммерческих предложений;
ведение справочных и клиентских баз данных — систематизация информации о клиентах для повышения качества обслуживания.
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Категории субъектов персональных данных:
работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников.
5.2. Категории обрабатываемых оператором персональных данных применительно к целям, указанным в п.4 Политики:
5.2.1. Для сотрудников Оператора — в целях выполнения требований законодательства в сфере труда и налогообложения, ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подачи бухгалтерской, налоговой и статистической отчётности, ведения КЭДО ООО «ИнфоЛинк» с использованием сервиса Битрикс24.КЭДО:
фамилия, имя, отчество;
пол, возраст;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства и адрес фактического проживания;
номер телефона (домашний, мобильный);
данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством;
отношение к воинской обязанности;
сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
СНИЛС;
ИНН;
информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО «ИнфоЛинк»;
сведения о доходах в ООО «ИнфоЛинк»;
сведения о деловых и иных личных качествах, носящие оценочный характер.
5.2.2. Для контрагентов и пользователей сайта оператора — в целях предоставления услуг или рассмотрения возможности их предоставления — анализа потребностей клиента, подготовки коммерческих предложений, ведения справочных и клиентских баз данных для систематизации информации о клиентах для повышения качества обслуживания:
данные cookies на сайтах;
сведения клиентов, добровольно предоставленные через формы на сайте или в процессе заключения договорных отношений: имя, фамилия, отчество, номер телефона, адрес электронной почты, место работы.
5.3. ООО «ИнфоЛинк» не осуществляет обработку биометрических ПДн.
6. Документы, которыми руководствуется ООО «ИнфоЛинк», при работе с Пдн
ООО «ИнфоЛинк» при работе с ПДн руководствуется следующими правовыми актами Российской Федерации и руководящими документами ФСТЭК России и ФСБ России:
Конституцией Российской Федерации;
Уголовным кодексом Российской Федерации;
Кодексом Российской Федерации об административных правонарушениях;
Трудовым кодексом Российской Федерации;
Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Распоряжением Президента Российской Федерации от 10 июля 2001 г. № 366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»;
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Методикой оценки угроз безопасности информации. ФСТЭК России, 2021 год;
Методическими рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности от 31 марта 2015 г. № 149/7/2/6-432;
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21;
Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом ФСБ России от 10 июля 2014 г. № 378;
Постановлением Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
7. Порядок и условия обработки персональных данных
7.1. ООО «ИнфоЛинк» в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона № 152-ФЗ.
7.2. При обработке ПДн обеспечивается исключение:
7.2.1. неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
7.2.2. неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
7.2.3. неправомерного блокирования информации (обеспечение доступности информации).
7.3. Обработка ПДн ООО «ИнфоЛинк» включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение Пдн, - исключительно в целях, указанных в п.4 Политики.
7.4. ООО «ИнфоЛинк» не производит трансграничную передачу ПДн.
7.5. ООО «ИнфоЛинк» осуществляет обработку ПДн как с использованием средств автоматизации (программно-аппаратные средства расположены в помещениях, принадлежащих ООО «ИнфоЛинк» на основании договоров аренды), так и без использования средств автоматизации.
7.6. После достижения цели обработки ПДн ООО «ИнфоЛинк» прекращает обработку ПДн и уничтожает ПНн в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ООО «ИнфоЛинк» прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.8. В случае обращения субъекта персональных данных к ООО «ИнфоЛинк» с требованием о прекращении обработки персональных данных ООО «ИнфоЛинк» в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
8. Меры по надлежащей организации обработки и обеспечению безопасности ПДн
8.1. ООО «ИнфоЛинк» при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
8.1.1. Назначением лиц, ответственных за организацию обработки ПДн, и лиц, ответственных за обеспечение безопасности информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе и ПДн (далее – Администратор безопасности информации).
8.1.2. Осуществлением внутреннего контроля соответствия обработки ПДн Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям по обеспечению безопасности ПДн, локальным актам.
8.1.3. Ознакомлением сотрудников ООО «ИнфоЛинк», осуществляющих обработку ПДн, с законодательством Российской Федерации о защите информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе с требованиями по обеспечению безопасности ПДн, локальными актами в отношении обработки ПДн и обучением указанных сотрудников .
8.1.4. Определением угроз безопасности ПДн при их обработке в информационных системах ПДн.
8.1.5. Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, а также на материальных носителях, необходимых для выполнения требований по обеспечению безопасности ПДн.
8.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн.
8.1.7. Учетом носителей ПДн.
8.1.8. Выявлением фактов несанкционированного доступа кПДн и принятием мер в соответствии с законодательством Российской Федерации об обеспечении безопасности ПДн.
8.1.9. Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.1.10. Установкой правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн.
8.1.11. Контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.
8.2. Обязанности сотрудников ООО «ИнфоЛинк», осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в соответствующих должностных инструкциях ООО «ИнфоЛинк».
9. Права субъектов ПДн
9.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн в ООО «ИнфоЛинк». Форма запроса для получения данных сведений приведена в приложении Б к настоящей Политике.
9.2. Субъект ПДн вправе требовать от ООО «ИнфоЛинк» уточнения своих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
9.4. Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться в ООО «ИнфоЛинк». ООО «ИнфоЛинк» рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных сотрудников ООО «ИнфоЛинк» и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10. Уполномоченный орган по защите прав субъектов ПДн в Пермском крае
Полное наименование: Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю.
Краткое наименование: Управление Роскомнадзора по Пермскому краю.
Адрес: 614096, г. Пермь, ул. Ленина, д. 68.
Телефон: (342) 236-16-33.
Факс: (342) 236-26-49.
Адрес электронной почты: rsockanc59@rkn.gov.ru, rkn@rkn59.ru.
Веб-сайт: http://59.rkn.gov.ru.
11. Доступ к Политике
11.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождения ООО «ИнфоЛинк» по адресу: 614066, Пермский край, г. Пермь, ул. Чайковского, д. 33, офис 317.
11.2. Действующая редакция Политики в электронном виде размещается на общедоступном информационном ресурсе в сети Интернет www.info-link.su.
12. Ответственность
Сотрудники ООО «ИнфоЛинк», виновные в нарушении норм, регулирующих обработку и обеспечение безопасности ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами ООО «ИнфоЛинк» и договорами, регламентирующими правоотношения ООО «ИнфоЛинк» с третьими лицами.
