Политика Общества с ограниченной ответственностью «ЭтСерч» в отношении организации обработки и обеспечения безопасности персональных данных
1. Общие положения
Настоящая Политика ООО «ЭтСерч» в отношении организации обработки и обеспечения безопасности персональных данных (далее — Политика), разработана в целях реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных.
Политика раскрывает способы и принципы обработки ООО «ЭтСерч» персональных данных, его права и обязанности при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых ООО «ЭтСерч» в целях обеспечения безопасности персональных данных при их обработке. Политика является общедоступным документом, декларирующим концептуальные основы деятельности ООО «ЭтСерч» при обработке персональных данных и их защите.
2. Основные понятия, используемые в Политике:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (далее — Оператор) — ООО «ЭтСерч», осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных —действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача данных — передача персональных данных на территорию иностранного государства иностранному физическому лицу или иностранному юридическому лицу.
3. Субъекты персональных данных
3.1. Субъекты персональных данных – любое физическое лицо (он же пользователь), персональные данные которого получил Оператор в предусмотренном Законом порядке.
4. Права субъектов персональных данных
4.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных оператором, на доступ к его персональным данным в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Закон о персональных данных).
4.2. Субъект персональных данных вправе требовать от оператора уточнения этих персональных данных, их блокирования, или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной Оператором цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
4.4. Для реализации и защиты свои прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует обстоятельства, изложенные в указанных обращениях, жалобах и в случае установления фактов нарушений, принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
4.5. Субъект персональных данных вправе обжаловать действия или бездействие оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе и на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5. Обязанности оператора персональных данных
5.1. Оператор обязуется распространять и предоставлять персональные данные третьим лицам только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.2. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию обоснованиях, целях, и условиях использования персональных данных.
5.3. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в определенный законом или договором срок.
6. Цели сбора и обработки персональных данных
Целями сбора и обработки персональных данных являются:
6.1. Обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, субъектов Российской Федерации, ведения бухгалтерского, налогового и воинского учета, кадровой работы и учета, участия граждан в конкурсах на замещение вакантных рабочих мест.
6.2. Осуществление деятельности по созданию, использованию и обслуживанию баз данных и информационных ресурсов (в т.ч. веб-сайтов, размещенных в сети Интернет), влекущее необходимость обработки персональных данных.
6.3. Выполнение иных работ, оказание иных услуг, связанных с обработкой персональных данных.
6.4. Проведение рекламных кампаний и маркетинговых исследований, то есть совместное проведение мероприятий Оператора и третьих лиц (организаторов мероприятий) и маркетинговые коммуникации.
6.5. Маркетинговые коммуникации и продвижение товаров и услуг третьих лиц на рынке.
6.6. Идентификация Пользователя и проверка представленных сведений, поддержание связи и информирования Пользователя о деятельности Оператора.
7. Правовые основания обработки персональных данных
Правовыми основаниями обработки персональных данных Оператором являются:
7.1. Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
7.2. Уставные документы Оператора.
7.3. Договоры, заключаемые между Оператором и субъектом персональных данных;
7.4. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
7.5. Договоры на оказание услуг/выполнение работ по поручению другого оператора персональных данных.
8. Обрабатываемые персональные данные субъектов персональных данных
8.1. К обрабатываемым персональным данным относятся:
- фамилия, имя, отчество;
- гражданство;
- паспортные данные;
- номера контактных телефонов;
- адрес электронной почты;
- сведения об образовании, повышении квалификации и переподготовке;
- сведения об интересах;
- сведения о посещаемых мероприятиях;
- профессия (должность);
- место работы (название компании, адрес электронной почты);
- предпочтения;
- данные, автоматически передаваемые сервисам веб-сайтов в процессе их использования с помощью установленного на устройстве субъекта персональных данных- пользователя программного обеспечения, в том числе IP-адрес, информация из Cookies, информация о браузере (или иной программе, с помощью которой осуществляется доступ к сервисам).
9. Принципы обработки и обеспечения персональных данных
При обработке персональных данных строго соблюдаются следующие принципы:
9.1. Обработка персональных данных осуществляется на законной и справедливой основе.
9.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.
9.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
9.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
9.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки персональных данных. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
9.6. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
9.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
10. Принципы обработки и обеспечения персональных данных
10.1. В соответствии с требованиями, установленными ст.7 Закона о персональных данных, оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В частности, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
10.2. Перечень действий, совершаемых оператором с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.
10.3. Обработка вышеуказанных персональных данных осуществляется смешанным способом (с использованием средств автоматизации и без использования средств автоматизации), с передачей по внутренней сети юридического лица, а также по сети Интернет.
10.4. При осуществлении хранения персональных данных оператор использует базы данных, находящиеся на территории Российской Федерации, оператор вправе осуществлять трансграничную передачу персональных данных в установленном Законом порядке.
10.5. Для надлежащего исполнения обязательств по обработке персональных данных оператором приняты меры, предусмотренные законодательством Российской Федерации, в том числе статьями 18.1. и 19 Закона о персональных данных.
10.6. Хранение персональных данных осуществляется оператором в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
10.7. Оператор в ходе своей деятельности может предоставлять и/или поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством в сфере персональных данных. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
10.8. Обработка персональных данных Оператором прекращается по основаниям, предусмотренным законодательством в сфере персональных данных, а также при прекращении деятельности Оператора (ликвидация, реорганизация).
11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1. Актуализация исправление, удаление и уничтожение обрабатываемых Оператором персональных данных осуществляется на основании запросов субъектов персональных данных в сроки и порядке, установленные законодательством Российской Федерации в области персональных данных.
11.2. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
11.3. Уничтожение документов и сведений с истекшим сроком хранения, обезличивание персональных данных осуществляются в порядке, установленном законодательством Российской Федерации, актами Оператора.
11.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных; Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.