|
Утверждена Приказом директора ООО «Альфа ЭМС» № 1100125 от «10» января 2025 г. |
Политика обработки персональных данных в ООО «Альфа ЭМС»
1. Общие положения
Настоящая Политика (далее – «Политика») определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, права субъектов персональных данных и меры по обеспечению безопасности персональных данных в ООО «Альфа ЭМС» (620063, г. Екатеринбург, ул. Белинского, д. 108, оф. 145 ОГРН 1136685006578) (далее – «Оператор»).
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
Настоящая Политика, является общедоступной и подлежит размещению на сайте ООО «Альфа ЭМС» https://alfa-ems.ru (далее – Сайт).
1.1. Термины и определения
В Политике используются следующие основные понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости;
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
Файлы «cookie» – набор технических данных, передаваемых между веб-сервером и браузером, который используется для персонифицированного использования и сбора информации о действиях, совершаемых субъектом персональных данных на Сайте.
2. Категории субъектов и цели обработки персональных данных
В соответствии с положениями Федерального закона № 152 ФЗ «О персональных данных» Оператор самостоятельно определяет категории субъектов персональных данных, цели обработки персональных данных, категории обрабатываемых персональных данных.
Категории субъектов персональных данных, цели обработки персональных данных, категории обрабатываемых персональных данных приведены в Приложении № 1 к Политике.
3. Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором на основе следующих принципов:
- − законности и справедливой основы;
- − ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- − недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- − недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- − обработки только тех персональных данных, которые отвечают целям их обработки;
- − соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- − недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- − обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- − уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
4. Условия обработки персональных данных
• Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
Обработка персональных данных Оператор осуществляется следующими способами:
- − неавтоматизированная обработка персональных данных;
- − автоматизированная обработка персональных данных.
В случаях, предусмотренных ФЗ-152, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных разрабатывается на основе Типовой формы письменного согласия и включает в себя, как минимум, следующие сведения:
- − фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- − наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- − цель обработки персональных данных;
- − перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- − наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- − перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- − срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- − подпись субъекта персональных данных.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных ФЗ-152.
• В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, необходимо уничтожить персональных данных или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора). Уничтожение персональных данных должно осуществляться в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва согласия на обработку персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
В случае отзыва согласия на обработку персональных данных такая обработка может быть продолжена без согласия субъекта персональных данных, при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
• Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации или договором, стороной которого является субъект персональных данных или выгодоприобретателем по которому является субъект персональных данных.
• Оператор вправе передавать персональные данные третьим лицам, если иное не предусмотрено федеральным законом, а также поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных в порядке и сроки, установленные законодательством Российской Федерации, а также договором, заключенным между Оператором и таким третьим лицом. Конкретный перечень передаваемых персональных данных, срок их обработки, действия, которые может совершать третье лицо, определяются конкретной целью, для которой персональные данные передаются для обработки третьему лицу и договором с таким третьим лицом.
Субъект персональных данных может направить обращение по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа к своим данным по адресу электронной почты: AlfaEMS@yandex.ru.
5. Специальные категории персональных данных
Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
6. Права субъектов персональных данных
Субъекты персональных данных имеют право на:
- − полную информацию об их персональных данных, обрабатываемых Оператором;
- − доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
- − уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- − отзыв согласия на обработку персональных данных;
- − принятие предусмотренных законом мер по защите своих прав;
- − обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- − осуществление иных предусмотренных законодательством прав.
7. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8. Перечень действий с персональными данными
Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
9. Срок обработки персональных данных
Обработка персональных данных Оператором осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок обработки персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
В любом случае, срок обработки персональных данных не превышает:
- − срок, необходимый для достижения цели обработки персональных данных;
- − срок, установленный законодательством Российской Федерации;
- − срок, определенный в согласии на обработку персональных данных;
- − срок, определенный в договоре, стороной которого является субъект персональных данных,
в зависимости от того, какой из них истечет позже.
Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено федеральным законом.
10. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
— назначение ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом; — ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. — определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; — оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; — восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Приложение № 1
к Политике обработки персональных данных
в ООО «Альфа ЭМС»
Категории субъектов персональных данных, цели обработки персональных данных, категории обрабатываемых персональных данных
В рамках деятельности ООО «Альфа ЭМС» самостоятельно определяет категории субъектов персональных данных и цели обработки персональных данных.
Полный перечень субъектов персональных данных, целей обработки персональных данных приведены в таблице № 1:
Таблица 1
|
Цели обработки персональных данных |
Категории субъектов персональных данных |
Перечень обрабатываемых персональных данных |
Правовые основания обработки персональных данных |
Способы обработки |
Сроки обработки |
Сведения о лицах, которые имеют доступ и которым могут быть переданы персональные данные |
|
Ведение кадрового и бухгалтерского учета |
Работники, уволенные работники |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; номер лицевого счета Специальные категории персональных данных: сведения о состоянии здоровья; сведения о наличии/отсутствии судимости. |
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Смешанная обработка персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, |
До достижения цели обработки персональных данных (согласно законодательству) |
Уполномоченные сотрудники оператора |
|
Цели обработки персональных данных |
Категории субъектов персональных данных |
Перечень обрабатываемых персональных данных |
Правовые основания обработки персональных данных |
Способы обработки |
Сроки обработки |
Сведения о лицах, которые имеют доступ и которым могут быть переданы персональные данные |
|
Продвижение товаров, работ, услуг на рынке |
Посетители сайта |
фамилия, имя, отчество; адрес электронной почты; номер телефона; |
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Автоматизированная обработка персональных данных, включая сбор; запись; систематизация; накопление; хранение; использование; обезличивание; блокирование; удаление; Уничтожение. |
До достижения цели обработки персональных данных |
Уполномоченные сотрудники оператора |
|
Подбор персонала (соискателей) на вакантные должности оператора |
Соискатели |
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данныедокумента, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото-видео изображение лица; |
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Смешанная обработка персональных данных, включая сбор; запись; систематизация; накопление; хранение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение. |
До достижения цели обработки персональных данных |
Уполномоченные сотрудники оператора |
|
Обеспечение функционирования сайта (сбор и анализ сведений о посетителях сайта и совершаемых ими действиях) |
Посетители сайта |
сведения, собираемые посредством метрических программ; IP-адрес; файлы «cookie» |
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных |
Автоматизированная обработка персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение, распространение персональных данных |
До достижения цели обработки персональных данных |
Владельцы метрических программ (сервисов) |