Политика обработки персональных данных

ООО «Облачные решения»

1. Общие положения

Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Облачные решения» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Основные понятия:

• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту;
• обработка персональных данных – любое действие (операция) или совокупность действий с использованием или без использования автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
• оператор – орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки и состав персональных данных;
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе публикация, размещение в интернете или предоставление доступа иным способом;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти, иностранному физическому или юридическому лицу;
• уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных и (или) уничтожаются материальные носители персональных данных.

Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике в соответствии с ч. 2 ст. 18.1 ФЗ-152.

2. Принципы и условия обработки персональных данных

2.1. Принципы обработки

Обработка персональных данных у Оператора осуществляется на основе принципов:

• законности и справедливой основы;
• ограничения обработки достижением конкретных и законных целей;
• недопущения обработки персональных данных, несовместимой с целями их сбора;
• недопущения объединения баз данных с несовместимыми целями;
• обработки только тех персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых данных целям;
• недопущения избыточности данных;
• обеспечения точности, достаточности и актуальности данных;
• уничтожения либо обезличивания данных по достижении целей или при утрате необходимости, если иное не предусмотрено законом.

2.2. Условия обработки

Оператор обрабатывает персональные данные при наличии хотя бы одного из условий:

• получено согласие субъекта;
• обработка необходима для выполнения закона или международного договора;
• обработка необходима для правосудия или исполнения судебного акта;
• обработка необходима для исполнения или заключения договора;
• обработка необходима для защиты законных интересов Оператора или третьих лиц при условии, что права субъектов не нарушаются;
• осуществляется обработка общедоступных персональных данных;
• осуществляется обработка данных, подлежащих раскрытию по закону.

2.3. Конфиденциальность

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять их без согласия субъекта, если иное не предусмотрено федеральным законом.

2.4. Общедоступные источники

Оператор может создавать справочники и адресные книги с согласия субъекта. В них могут включаться: фамилия, имя, отчество, дата и место рождения, должность, телефон, e-mail и иные данные.

Сведения исключаются из источников по требованию субъекта, уполномоченного органа или суда.

2.5. Специальные категории данных

Обработка данных о расовой или национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, интимной жизни допускается только если:

• субъект дал письменное согласие;
• данные сделаны общедоступными самим субъектом;
• обработка необходима по социальному, трудовому или пенсионному законодательству;
• обработка необходима для защиты жизни или здоровья, а согласие невозможно получить;
• обработка необходима для медико-профилактических целей и выполняется врачом;
• обработка необходима для осуществления прав или правосудия;
• обработка осуществляется по законодательству об обязательном страховании.

Обработка прекращается, если отпали причины для ее осуществления. Обработка данных о судимости допускается только в случаях, предусмотренных законом.

2.6. Биометрические данные

Биометрические данные (сведения, позволяющие установить личность по физиологическим и биологическим особенностям) обрабатываются только при письменном согласии субъекта.

2.7. Поручение обработки другому лицу

Оператор вправе поручить обработку другому лицу по договору и с согласия субъекта (если иное не установлено законом). Такое лицо обязано соблюдать требования ФЗ-152 и настоящей Политики.

2.8. Обработка данных граждан РФ

При сборе данных граждан РФ (в том числе через интернет) оператор обязан обеспечивать их хранение и обработку в базах данных, находящихся на территории России, за исключением случаев:

• выполнения международного договора или закона;
• исполнения судебного акта;
• исполнения полномочий госорганов и оказания госуслуг;
• осуществления профессиональной деятельности журналиста, СМИ или иной творческой деятельности при условии соблюдения прав субъекта.

2.9. Трансграничная передача

Оператор обязан убедиться в наличии адекватной защиты данных в государстве, куда передаются данные. Передача возможна:

• при письменном согласии субъекта;
• для исполнения договора, стороной которого является субъект.

3. Категории субъектов персональных данных

Субъекты персональных данных подразделяются на следующие категории:

• работники, имеющие договорные отношения с Оператором;
• родственники работников;
• уволенные работники, ранее имевшие договорные отношения с Оператором;
• соискатели (кандидаты) на вакансии, включая проходящих обучение по ученическому договору;
• работники контрагентов по гражданско-правовым договорам;
• пользователи облачного сервиса «Окдеск»;
• пользователи интернет-ресурсов Оператора.

4. Цели обработки персональных данных

Персональные данные в Компании обрабатываются для следующих целей:

• поиск работников (соискатели);
• взаимодействие с работниками в рамках трудового договора;
• взаимодействие в рамках договоров с контрагентами;
• продвижение товаров, работ и услуг Оператора (пользователи сервиса «Окдеск»);
• обеспечение безопасности и доступа на объекты;
• выполнение требований законодательства и нормативных документов;
• предоставление доступа (в том числе регистрации) к интернет-сайтам и платформам;
• оказание услуг или выполнение работ по предоставлению облачного сервиса «Окдеск».

5. Способы обработки персональных данных

Обработка осуществляется как с использованием, так и без использования средств автоматизации.

Автоматизированная обработка производится в ИСПДн Оператора в соответствии с настоящей Политикой.

Доступ к ИСПДн предоставляется только уполномоченным работникам для исполнения обязанностей.

При неавтоматизированной обработке данные обособляются от иной информации (например, фиксируются на отдельных носителях).

Решения, порождающие юридические последствия для субъекта, могут приниматься на основе автоматизированной обработки только при наличии письменного согласия субъекта.

Обработка для целей продвижения товаров и услуг допускается только при предварительном согласии субъекта.

6. Права субъекта персональных данных

6.1. Согласие субъекта

Согласие на обработку персональных данных дается субъектом добровольно, своей волей и в своем интересе. Оно может быть выражено в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.

6.2. Права субъекта

Субъект имеет право:

• получать у Оператора информацию об обработке своих данных (если право не ограничено законом);
• требовать уточнения, блокирования или уничтожения неполных, устаревших, неточных или незаконно полученных данных;
• принимать меры для защиты своих прав;
• требовать прекращения обработки данных в целях маркетинга, прямых контактов и политической агитации;
• запрещать принятие решений на основе исключительно автоматизированной обработки, порождающих юридические последствия (кроме случаев, предусмотренных законом или при наличии письменного согласия).

Если субъект считает, что его данные обрабатываются с нарушением ФЗ-152 или его права нарушены, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган или в суд.

Субъект также имеет право на возмещение убытков и компенсацию морального вреда.

7. Обеспечение безопасности персональных данных

Безопасность обеспечивается правовыми, организационными и техническими мерами, в том числе:

• назначение ответственных лиц;
• ограничение доступа к данным;
• ознакомление работников с требованиями законодательства и внутренними документами;
• учет, хранение и обращение с носителями, содержащими данные;
• определение угроз безопасности и моделирование угроз;
• разработка системы защиты персональных данных;
• проверка эффективности средств защиты информации;
• разграничение доступа пользователей к ресурсам;
• регистрация и учет действий пользователей;
• использование антивирусных средств, межсетевых экранов, систем обнаружения вторжений и криптографической защиты;
• организация пропускного режима и охраны помещений с техническими средствами обработки данных.

8. Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации.

Работники Оператора, виновные в нарушении норм обработки и защиты персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.