Политика защиты и обработки персональных данных ООО «НЕКСТЭПИК»

Юридический и фактический адрес: 190005, город Санкт-Петербург, 6-Я Красноармейская ул, д. 5-7 литера А, помещ. 2-н ком. №75, офис 301в.

1. Общие положения

1.1. Настоящая Политика защиты и обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении персональных данных (далее – ПД), которые ООО «НЕКСТЭПИК» (далее – Оператор) может получить от субъекта ПД.

1.2. Оператор обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о ПД.

1.3. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.4. Понятия, содержащиеся в ст. 3 Закона о ПД, используются в настоящей Политике с аналогичным значением.

 

2. Правовые основания обработки ПД

2.1. Правовыми основаниями обработки ПД Оператором являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 N 152-ФЗ «О ПД»;
• Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 N 27-ФЗ;
• уставные документы Оператора;
• договоры, заключаемые между Оператором и субъектами ПД;
• согласия субъектов ПД на обработку ПД;
• иные основания, когда согласие на обработку ПД не требуется в силу закона.

3. Порядок и условия обработки и хранения ПД

3.1. Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

3.2. Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку ПД.

3.4. К обработке ПД допускаются работники Оператора, в должностные обязанности которых входит обработка ПД.

3.5. Обработка ПД осуществляется путем:

• получения ПД в устной и письменной форме непосредственно с согласия субъекта ПД на обработку его ПД;
• получения ПД из общедоступных источников;
• использования иных способов обработки ПД.

3.6. Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

3.7. Передача ПД органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности ПД при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПД;
• назначает лиц, ответственных за обеспечение безопасности ПД в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с ПД;
• организует учет документов, содержащих ПД;
• организует работу с информационными системами, в которых обрабатываются ПД;
• хранит ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку ПД.

3.9. Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором.

3.10. При сборе ПД, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о ПД.

3.11. Цели обработки ПД:

3.11.1. Обработке подлежат только ПД, которые отвечают целям их обработки.

3.11.2. Обработка Оператором ПД осуществляется в следующих целях:

• обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
• осуществление своей деятельности в соответствии с уставом Оператора;
• ведение кадрового делопроизводства;
• содействие работникам в трудоустройстве, продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
• привлечение и отбор кандидатов на работу у Оператора;
• заключение с субъектами ПД любых договоров и их дальнейшего исполнения;
• идентификация субъекта ПД в рамках заключенных с Оператором договоров;
• предоставление субъектам ПД сервисов и услуг Оператора, а также информации о разработке Оператором новых продуктов и услуг, в том числе рекламного характера;
• обратная связь с субъектами ПД, в том числе обработка их запросов и обращений, информирование о работе Сайта;
• контроль и улучшение качества услуг и сервисов Оператора, в том числе предложенных на Сайте;
• организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• ведение бухгалтерского учета;
• осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации.

3.11.3. Обработка ПД работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3.12. Категории субъектов ПД.

Обрабатываются ПД следующих субъектов ПД:

• работники Оператора, бывшие работники, кандидаты для приема на работу;
• клиенты и контрагенты Оператора (физические лица);
• представители/работники клиентов и контрагентов Оператора (юридических лиц);
• посетители сайта Оператора https://nextepic.ru

3.13. К ПД, обрабатываемым Оператором, относятся:

• фамилия, имя, отчество субъекта ПД;
• паспортные данные субъекта ПД;
• место проживания (регион/город) и адрес субъекта ПД;
• специальность/область профессиональных интересов;
• номер мобильного телефона;
• адрес электронной почты (e-mail);
• история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
• фото субъекта ПД;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

3.14. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3.15. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

3.16. Трансграничная передача ПД Оператором не осуществляется.

3.17. Хранение ПД.

3.17.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.17.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.17.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.17.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках).

3.17.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.18. Уничтожение ПД.

3.18.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.18.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.18.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

 

4. Сведения о реализуемых требованиях к защите ПД

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты ПД (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.4. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

4.5.3. Разработка политики в отношении обработки ПД.

4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД.

4.5.12. Осуществление внутреннего контроля и аудита.

 

5. Основные права и обязанности субъекта ПД и обязанности Оператора

5.1. Основные права субъекта ПД.

Субъект имеет право на доступ к его ПД и следующим сведениям:

• подтверждение факта обработки ПД Оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных законами;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• обращение к Оператору и направление ему запросов;
• обжалование действий или бездействия Оператора.

5.2. Основные права Субъекта ПД.

Субъект ПД обязан:

• предоставлять Оператору только достоверные данные о себе;
• предоставлять документы, содержащие ПД в объеме, необходимом для цели обработки;
• сообщать Оператору об уточнении (обновлении, изменении) своих ПД.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте ПД без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

5.3. Обязанности Оператора.

Оператор обязан:

• при сборе ПД предоставить информацию об обработке ПД;
• в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
• при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
• давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

5.4. Оператор имеет право:

• получать от субъекта ПД достоверные информацию и/или документы, содержащие ПД;
• требовать от субъекта ПД своевременного уточнения предоставленных ПД.

 

6. Изменение и уничтожение ПД, запросы субъектов ПД

6.1. В случае подтверждения факта неточности ПД или неправомерности их обработки ПД подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.

6.2. Факт неточности ПД или неправомерности их обработки может быть установлен либо субъектом ПД, либо компетентными государственными органами Российской Федерации.

6.3. По письменному запросу субъекта ПД или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке ПД указанного субъекта. Такой запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД и его представителя и документ, подтверждающий права представителя на получение таких данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя.

6.4. Если в запросе субъекта ПД не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.5. В порядке, предусмотренном п. 6.3, субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.6. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД Согласия, ПД данные подлежат уничтожению, если:

• Оператор не вправе осуществлять обработку без Согласия субъекта ПД;

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;

• иное не предусмотрено иным соглашением между Оператором и субъектом ПД.

 

7. Политика в отношении cookie-файлов

7.1. Сookie-файлы используются на Сайте для улучшения качества взаимодействия посетителей с Сайтом, позволяя Сайту запоминать посетителей на время их первого или во время повторных посещений. В некоторых случаях cookie- файлы используются для персонализации информации на Сайте, основываясь на местоположении.

7.2. Оператор использует cookie-файлы, которые необходимы для перемещения посетителей по Сайту или работы определенных основных функций. Сookie-файлы используются для улучшения функциональности Сайта, например, за счет сохранения настроек посетителя. Оператор также использует cookie- файлы для улучшения работы Сайта, чтобы улучшить качество взаимодействия посетителей с Сайтом.