Приложение к Приказу от 26.05.2025г.

Политика в отношении обработки персональных данных ООО «Цифровые технологии»

1. Общие положения

Настоящая политика в отношении обработки персональных данных (далее Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006 (далее Федеральный закон) и определяет позицию ООО «Цифровые технологии», ОГРН 1237400026511, юридический адрес: 454008, г. Челябинск, ул. Производственная, д. 8 б, офис 311 (далее Компания) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия и определения

Автоматизированная обработка персональных данных обработка персональных данных с использованием средств вычислительной техники

Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Доступ к персональным данным возможность получения персональных данных и их использования.

Информационная система персональных данных (ИСПДн) совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Несанкционированный доступ доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных юридическое лицо (ООО «Цифровые технологии», ОГРН 1237400026511), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных».

Предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Правовые основания и цели обработки персональных данных.

Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции РФ, Федерального закона, Трудового кодекса РФ, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов РФ, руководящих и методических документов ФСТЭК России и ФСБ России.

Категории субъектов ПДн, чьи данные обрабатываются в Компании:

2.1. Трудоустроенные работники Компании, уволенные работники Компании.

2.2. Физические лица, оказывающие Компании услуги на основе договоров гражданско-правового характера, работники партнеров-юридических лиц Компании, которые участвуют в деятельности Компании (контрагенты), представители контрагентов, в том числе, которые участвуют в заключении и исполнении условий договоров по поручению оператора ПДн, и иных физических лиц прямо или косвенно относящиеся к контрагенту, ставшие известными Компании в ходе исполнения договора, заключенного между Компанией и контрагентом

Цели обработки ПДн, объем и категории обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения:

Для категории субъектов ПДн, указанных в пункте 2.1. настоящей Политики обрабатываются следующие ПДн работников Компании:

Фамилия, имя, отчество, сведения о предыдущих фамилиях, пол, дата рождения, возраст, место рождения, гражданство, паспортные данные, сведения о заграничном паспорте, сведения о поездках в командировки, гражданство, СНИЛС, банковские реквизиты, сумма к выплате, ИНН, адрес места регистрации и фактического проживания, сведения о семейном положении и составе семьи, сведения об образовании и о повышении квалификации, сведения о воинской обязанности, сведения об учёных степенях и учёных званиях, сведения о трудовом и общем стаже работы, сведения о стаже работы в Компании, сведения о предыдущих местах работы, занимаемая должность, место работы, табельный номер, сведения о социальных льготах, сведения об инвалидности, дата и время несчастного случая, номер электронного листка нетрудоспособности, период нетрудоспособности, код причины нетрудоспособности, сведения о медицинских полисах, вредный производственный фактор, сведения о наличии состояния алкогольного опьянения, дата смерти, место смерти, реквизиты свидетельства о смерти, реквизиты свидетельства о заключении брака, реквизиты свидетельства о рождении детей, сведения о заработной плате и налогах, сведения о состоянии здоровья, номер контактного телефона, адрес электронной почты, фотография (для исполнения трудового, налогового законодательства РФ, организации добровольного и иного страхования).

Цель: для исполнения трудового, налогового законодательства (в т.ч. законодательства о страховании, добровольного медицинского и иного).

Срок хранения ПДн работников установлен в соответствии с действующим законодательством в зависимости от категории:

• для исполнения трудового законодательства для работников и уволенных работников Компании - в течение сроков временного хранения документов (1 год, 3 года, 5 лет, 6 лет, 10 лет, 15 лет, 45 лет, 50 лет и 75 лет);
• для исполнения налогового законодательства для работников и уволенных работников Компании - в течение сроков временного хранения документов (1 год, 3 года, 5 лет, 6 лет, 10 лет, 15 лет, 45 лет, 50 лет и 75 лет);
• для исполнения договоров страхования (добровольного медицинского и иного) 5 лет с момента прекращения договора добровольного медицинского страхования.

Способ обработки ПДн смешанная обработка.

Для категории субъектов ПДн, указанных в пункте 2.2. настоящей Политики обрабатываются следующие ПДн физических лиц контрагентов:

Фамилия, имя, отчество, дата рождения, паспортные данные, номер контактного телефона, адрес электронной почты, занимаемая должность, банковские реквизиты, ИНН, место работы, номер контактного телефона, адрес электронной почты, статус благонадежности, данные доверенности.

Цель обработки: заключение и исполнение условий договоров, действующего законодательства РФ.

Срок хранения ПДн по договорам, заключаемым с субъектами ПДн, должны храниться в Компании в течение 5 лет, если иной срок не установлен законодательством РФ.

Способ обработки ПДн смешанная обработка.

3. Принципы и условия обработки ПДн:

Обработка ПДн осуществляется на законной и справедливой основе.

Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.

Определение конкретных законных целей до начала обработки (в т.ч. сбора) ПДн.

Обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц.

Обработка ПДн, разрешенных субъектом ПДн для распространения, может осуществляться Компанией только при наличии согласия субъекта ПДн.

Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам с согласия субъекта ПДн, в соответствии с заключаемым с этими лицами договором.

Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора, обязуются соблюдать требования, предусмотренные Федеральным законом.

ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов, а также для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

Ведется сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки.

Объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, не допускается.

При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

Компания может включать ПДн субъекта ПДн в общедоступные источники ПДн, при этом Компания осуществляет получение согласия в письменной форме с субъекта ПДн на обработку его ПДн.

Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

Обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии коррупции.

Обработка ПДн о судимости может осуществляться Компанией исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Компания осуществляет обработку ПДн о состоянии здоровья субъекта ПДн в случаях , предусмотренных законодательством о государственной социальной помощи, трудовым законодательством.

Если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов работника Компании либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно.

Без согласия субъекта ПДн, Компания вправе осуществлять передачу ПДн третьим лицам в случаях, установленных законодательством РФ (госорганам).

В целях исполнения требований действующего законодательства РФ обработка ПДн осуществляется как с использованием, так и без использования средств автоматизации (смешанно).

Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение ПДн.

Компания обеспечивает обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4. Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн

4.1. Основные права и обязанности Компании:

4.1.1. Компания имеет право:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

4.1.2. Компания обязана:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Компании необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
• в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.2. Основные права субъекта персональных данных.

4.2.1. Субъект персональных данных вправе:

• получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Компанией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
• требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
• обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Компании при обработке его персональных данных.

5. Меры по обеспечению безопасности ПДн при их обработке.

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные, учет машинных носителей персональных данных;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.

6. Актуализация, удаление и уничтожение персональных данных, ответы на запросы субьектов на доступ к персональным данным.

6.1. Актуализация Политики

Политика Компании должна актуализироваться (пересматриваться) на регулярной основе по решению руководства Компании, при изменении законодательства РФ, при получении предписаний от уполномоченного органа либо иной необходимости.

6.2. Уничтожение ПДн, согласно законодательству о персональных данных, производится в следующих случаях:

• выявление неправомерной обработки ПДн и невозможности устранения допущенных нарушений,
• по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
  • отзыв субъектом ПДн согласия на обработку своих ПДн,
  • по достижении целей обработки или в случае утраты необходимости в их достижении.

6.3. Порядок получения ответов от Компании на запросы физических лиц по вопросам обработки их ПДн следующий:

• лично (по адресу Компании: 454008, г. Челябинск, ул. Производственная, д. 8 б, офис 311),
• письмом почтой (на юридический адрес Компании: 454008, г. Челябинск, ул. Производственная, д. 8 б, офис 311).

Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

Если в запросе субъекта персональных данных не отражены в соответствии с требованиями Закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

7. Заключительные положения

7.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ООО «Цифровые технологии» в области персональных данных определяется в соответствии с законодательством РФ. Работники Компании, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

7.2. НастоящаяПолитика вступает в силу с момента утверждения и действует бессрочно до принятия новойПолитики.

7.3. Все изменения и дополнения к настоящей Политике должны быть утверждены директором ООО «Цифровые технологии».

7.4. Настоящая Политика является общедоступной и подлежит размещению на сайте Компании, в мобильном приложении.