Политика конфиденциальности ООО «СИСТЕМЫ ИДМ»

 

1.Общие положения

1.1. Настоящая Политика конфиденциальности (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в обществе с ограниченной ответственностью «СИСТЕМЫ ИДМ» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными законодательными и нормативными правовыми актами Российской Федерации в области защиты персональных данных.

1.3.Основные используемые понятия:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • пользователь – физическое дееспособное лицо, достигшее возраста 18 лет, пользователь сети Интернет, информационных систем, посетивший сайт и выполнивший какое-либо действие на данном сайте;
  • сервис – специализированная служба, компонент мобильного приложения или сайта, предоставляющие услуги.

1.4. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора.

1.5.2. Оператор обязан:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять субъекту персональных данных (его законному представителю) информацию, касающуюся обработки его персональных данных и возможность безвозмездного доступа к его персональным данным;
  • принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
  • опубликовать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных;
  • соблюдать требования законодательства РФ.

1.6. Основные права и обязанности субъектов персональных данных:

1.6.1. Субъекты персональных данных имеют право:

  • на полную информацию, касающуюся обработки их персональных данных и возможность безвозмездного доступа к ним;
  • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • на отзыв согласия на обработку персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.6.2. Субъекты персональных данных обязаны:

  • предоставлять Оператору только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

2. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

2.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

  • работники Оператора, кандидаты на вакантные должности;
  • клиенты и контрагенты Оператора (физические лица), представители/работники клиентов и контрагентов Оператора (юридических лиц);
  • пользователи сайта Оператора https://idmsystems.ru.

2.2. К персональным данным, обрабатываемым Оператором, относятся:

2.2.1. Персональные данные работников Оператора в объеме, необходимом для исполнения обязанностей как работодателя и соблюдения трудового законодательства, ведения кадрового учета в рамках трудовых отношений.

2.2.2. Персональные данные кандидатов на вакантные должности, размещенные в общем доступе в сети Интернет, на сайтах для поиска и подбора персонала, в объеме, необходимом для установления соответствия кандидата вакантной должности.

2.2.3. Персональные данные клиентов и контрагентов Оператора (физические лица), представителей/работников клиентов и контрагентов Оператора (юридических лиц):

  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты (e-mail);
  • история запросов и просмотров на сайте и его сервисах;
  • место работы и должность;
  • иная информация, необходимая для исполнения договорных отношений.

2.2.4. Персональные данные пользователей сайта Оператора:

  • фамилия, имя, отчество;
  • номер телефона;
  • адрес электронной почты (e-mail);
  • история запросов и просмотров на сайте и его сервисах;
  • иная информация, необходимая для использования сайта, добровольно предоставленная пользователем.

2.2.5. Иная информация, необходимая для исполнения трудовых или гражданско-правовых отношений, соответствующая целям обработки персональных данных. Приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки.

2.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

2.4. Обработка биометрических и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

3. Цели сбора и обработки персональных данных

3.1. Персональные данные обрабатываются Оператором в следующих целях:

3.1.1. Персональные данные работников Оператора, кандидатов на вакантные должности обрабатываются в целях обеспечения соблюдения законов и иных нормативно-правовых актов; содействия работникам в трудоустройстве, получении образования и продвижении по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы и обеспечения сохранности имущества; обеспечения исполнения трудовых отношений между работником и работодателем, ведения кадрового учета, подготовки отчетности в соответствии с действующим законодательством, предоставления гарантий и компенсаций; подбора персонала.

3.1.2. Персональные данные клиентов и контрагентов Оператора (физических лиц), представителей/работников клиентов и контрагентов Оператора (юридических лиц) обрабатываются в целях обеспечения соблюдения законов и иных нормативно-правовых актов; осуществления хозяйственной деятельности, заключения и исполнения договорных отношений; предоставления сервисов и услуг Оператора, а также информации о разработке Оператором новых продуктов и услуг, в том числе рекламного характера; обработки запросов и обращений субъектов.

3.1.3. Персональные данные пользователей сайта Оператора обрабатываются в целях обеспечения соблюдения законов и иных нормативных правовых актов, осуществления хозяйственной деятельности, исполнения договорных отношений, предоставления сервисов и услуг Оператора, распространения новостных материалов и информации маркетингового и рекламного характера, идентификации пользователя, обработки запросов и обращений субъектов персональных данных.

3.1.4. В целях исполнения договорных отношений Оператором могут обрабатываться персональные данные других категорий субъектов персональных данных, а также производиться обработка данных по поручению другого оператора персональных данных. В этом случае цели и категории субъектов персональных данных регулируются отдельным соглашением в письменной форме.

3.1.5. Персональные данные субъектов могут обрабатываться в иных целях, соответствующих основным направлениям деятельности Оператора и не противоречащих законодательству Российской Федерации.

4. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных Оператором являются:

  • Конституция РФ;
  • Трудовой кодекс РФ;
  • Гражданский кодекс РФ;
  • Налоговый кодекс РФ;
  • Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
  • Указ Президента РФ от 6 марта 1997 г. N 188 “Об утверждении перечня сведений конфиденциального характера”;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”;
  • Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”;
  • учредительные документы Оператора;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласия субъектов персональных данных на обработку персональных данных;
  • иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных Оператором осуществляется следующими способами:

  • без использования средств автоматизации;
  • в информационных системах с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

5.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных, за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого согласия.

5.4. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях согласие оформляется в письменной форме. Пользователи сайта Оператора выражают свое согласие путем выполнения соответствующего действия при заполнении формы обратной связи (установление флажка в поле «Я принимаю условия политики конфиденциальности и согласен на обработку моих персональных данных ).

Согласие субъекта персональных данных действует с момента его выражения, подписания или принятия условий политики конфиденциальности, в том числе в электронном виде, и до момента отзыва данного согласия субъектом.

Согласие может быть отозвано путем письменного заявления, направленного в адрес Оператора Почтой России или предоставленного лично по адресу 443086, г. Самара, ул. Скляренко, д. 26, оф. 12-14. Согласие пользователя сайта может быть отозвано путем направления письменного заявления по адресу электронной почты support@idmsystems.ru с темой письма «Отказ от обработки персональных данных». Для установления личности пользователя в тексте письма необходимо указать данные, использованные на сайте: фамилия и имя, телефон и адрес электронной почты. Для обеспечения корректной и однозначной идентификации субъекта в ответном электронном письме Оператор может запросить дополнительную информацию.

В случае, если Оператор не может однозначно идентифицировать пользователя на основании предоставленной пользователем информации, запрос на отзыв согласия обработан не будет.

В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством.

5.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.7. Сроки хранения персональных данных, содержащихся в типовых управленческих документах, соответствуют срокам хранения данных документов согласно Приказу Росархива от 20.12.2019 N 236. Срок хранения персональных данных, содержащихся в документах по личному составу и оплате труда, составляет 50/75 лет. Срок хранения персональных данных, содержащихся в иных кадровых и бухгалтерских документах, составляет от 1 года до 5 лет.

Хранение персональных данных прекращается при наступлении следующих событий:

  • отзыв субъектом персональных данных согласия на обработку персональных данных;
  • ликвидация Оператора;
  • достижение целей обработки персональных данных;
  • утрата необходимости в достижении целей обработки персональных данных.

При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона “О персональных данных”.

5.8. При обработке персональных данных Оператор обеспечивает конфиденциальность информации и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным

6.1. В случае выявления неправомерной обработки или неточности персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных с момента обращения субъекта персональных данных или получения соответствующего запроса.

6.2. В случае подтверждения факта неточности персональных данных Оператор обязан уточнить персональные данные в течение семи рабочих дней и снять блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с момента выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

6.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6.6. Факт неточности персональных данных или неправомерности их обработки может быть установлен субъектом персональных данных, его законным представителем или компетентными государственными органами РФ.

6.7. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

6.8. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.9. В порядке, предусмотренном п. 6.7, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7. Используемые программные средства и защита персональных данных

7.1. Персональные данные субьектов обрабатываются и хранятся с использованием сертифицированных программных средств:

  • «Контур.Диадок» — используется для организации электронного документооборота, включая обработку договоров, счетов и иных юридически значимых документов, содержащих персональные данные.
  • «1С: Предприятие» — используется для ведения учёта, хранения кадровых, бухгалтерских и иных связанных персональных данных.
  • «Контур.Экстерн» — применяется для сдачи отчётности в контролирующие органы, а также для обработки сведений, содержащих персональные данные.

7.2. Используемое программное обеспечение обеспечивает: ограничение доступа к персональным данным; защиту информации с использованием авторизации, журналирования и резервного копирования; соответствие требованиям законодательства Российской Федерации о защите информации.

8. Реагирование на утечку персональных данных

 8.1. При выявлении факта несанкционированного доступа к персональным данным, Оператор обязуется:

  • зафиксировать инцидент;
  • в течение 24 часов уведомить Роскомнадзор;
  • провести внутреннее расследование;
  • принять меры по устранению последствий и предупреждению подобных инцидентов.

9. Заключительные положения

9.1. Настоящая Политика является внутренним документом Оператора, является общедоступной и подлежит размещению на официальном сайте Оператора https://idmsystems.ru

9.2. Политика подлежит изменению, дополнению, в одностороннем порядке со стороны Оператора, а также в случае внесения изменений в законодательные акты Российской Федерации и нормативные документы по обработке и защите персональных данных.