ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
от 11.10.2021
1. Назначение и область действия
1.1. Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных в ООО «ТСТ» (далее – Общество, Оператор).
1.2. Политика распространяется на весь персонал Общества (включая работников по трудовым договорам и сотрудников, работающих на основании иных договоров с Обществом) и все структурные подразделения Общества.
1.3. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки Обществом персональных данных, например, в случаях передачи в установленном порядке со стороны Общества персональных данных подрядчикам, партнерам и иным контрагентам на основании поручений на обработку персональных данных, иных соглашений и договоров.
2. Соответствие применимому законодательству
2.1. Политика разработана на основе законодательства Российской Федерации. В Политике используются термины и определения в соответствии с их значениями, как они определены в федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ). Общество обрабатывает персональные данные с учетом требований самого 152-ФЗ, его подзаконных актов и нормативно-методических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных.
2.2. В Политике также учитываются положения иного применимого к деятельности Общества законодательства, в том числе Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется Обществом на законной и справедливой основе, основными правовыми основания для обработки являются:
· Конституция Российской Федерации;
· Трудовой кодекс Российской Федерации;
· Гражданский кодекс Российской Федерации;
· Налоговый кодекс Российской Федерации;
· Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
· Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
· Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
· Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
· Устав Общества;
· Договоры и соглашения Общества;
· Согласия субъектов персональных данных.
3.2. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:
· 3.2.1. заключение трудовых договоров с физическими лицами, подбор персонала;
· 3.2.2. заключение, продление договоров, соглашений сделок Общества, в том числе, по которым субъект персональных данных будет являться поручителем или залогодателем;
· 3.2.3. идентификация сторон договоров, соглашений, сделок Общества;
· 3.2.4. исполнение договорных обязательств Общества, включая осуществление деятельности по оптовой и розничной торговле непродовольственными товарами, аренде строительных машин и оборудования, ремонту машин и оборудования, оказания услуг;
· 3.2.5. осуществление мероприятий на стадии досудебного и (или) судебного разбирательства по защите нарушенных прав Общества, в том числе в целях взыскания дебиторской задолженности;
· 3.2.6. использование юридическими и физическими лицами веб-сайта и иных информационных ресурсов Общества в соответствии с их правилами пользования, лицензионными соглашениями;
· 3.2.7. регистрация, идентификация и персонализация пользователей веб-сайтов, приложений и иных информационных ресурсов Общества; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, улучшение товаров/работ/услуг Общества;
· 3.2.8. осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения товаров/работ/услуг Общества;
· 3.2.9. защита законных интересов Общества, его партнеров и клиентов;
· 3.2.10. организация пропускного режима на территории зданий и офисов Общества, обеспечение сохранности имущества и безопасности сотрудников и посетителей Общества;
· 3.2.11. организация конференций, семинаров иных публичных мероприятий в интересах Общества, партнерских организаций, профессиональных сообществ;
· 3.2.12. прохождение физическими лицами стажировок, практик в Обществе; содействие работникам Общества в получении образования и продвижении по работе (службе);
· 3.2.13. предоставление социального пакета, материальной помощи, компенсаций и льгот сотрудникам Общества;
· 3.2.14. проведение исследований по тематике деятельности Общества;
· 3.2.15. контроль количества и качества выполняемой работы работниками Общества;
· 3.2.16. сбор, обработка аналитических и статистических данных по тематике деятельности Общества, использования информационных ресурсов, товаров/работ/услуг Общества;
· 3.2.17. обеспечения соблюдения действующего трудового, налогового, бухгалтерского, пенсионного, иного законодательства Российской Федерации;
· 3.2.18. обеспечение соблюдения иного применимого к деятельности Общества законодательства.
3.3. К основным категориям субъектов персональных данных, чьи данные обрабатываются в Обществе, относятся:
· 3.3.1. посетители и пользователи сайтов, приложений и информационных ресурсов Общества;
· 3.3.2. физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с Обществом, их ближайшие родственники, рекомендатели, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты (соискатели) на замещение вакантных должностей;
· 3.3.3. физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с контрагентами Общества, являющиеся их представителями; физические лица, являющие представителями контрагентов Общества при исполнении заключенных договоров, соглашений, сделок, в том числе осуществляющие приемку товаров/работ/услуг, перевозку грузов (водители);
· 3.3.4. физические лица, проходящие в Обществе стажировки, практики от учебных заведений;
· 3.3.5. физические лица, обратившиеся в Общество с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;
· 3.3.6. физические лица, участвующие в опросах, аналитических и маркетинговых исследованиях по тематике деятельности Общества;
· 3.3.8. участники мероприятий, организованных Обществом;
· 3.3.9. посетители офисов Общества;
· 3.3.10. учредители Общества.
3.4. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:
· 3.4.1. личная информация (фамилия, имя, отчество, в том числе, прежние; пол; год, месяц, дата рождения; возраст; место рождения, национальность, гражданство);
· 3.4.2. контактная информация (почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в социальных сетях и сервисах коммуникаций); адреса регистрации и фактического проживания;
· 3.4.3. сведения о документах, удостоверяющих личность; водительском удостоверении; сведения об идентификационных номерах субъекта в государственных системах учета (например, ИНН, СНИЛС и др.); сведения о полисах обязательного и добровольного медицинского страхования;
· 3.4.4. профессиональная деятельность, факты биографии, предыдущая трудовая деятельность (место работы; должность; структурное подразделение; табельный номер; стаж; участие в юридических лицах; полномочия; судимость; служба в армии; работа на выборных должностях, на государственной службе);
· 3.4.5. навыки и квалификация (полученное образование; профессия; присвоенные специальности; квалификация; владение иностранными языками; пройденные обучающие курсы, стажировки, практики, повышения квалификации);
· 3.4.6. сведения о семье (семейное положение; состав семьи; законные представители, ближайшие родственники);
· 3.4.7. социальное положение; имущественное положение; сведения о транспортных средствах;
· 3.4.8. рекомендации и отзывы; сведения об оценке персонала;
· 3.4.9. финансовое состояние; платежные реквизиты; доходы; сведения о налоговых и иных отчислениях в государственные фонды; сведения о начислениях и удержаниях денежных средств, вознаграждений в иной форме; сведения о совершенных покупках, заказах товаров и услуг; сведения о платежах;
· 3.4.10. сведения о присутствии в отдельных государственных реестрах, базах данных и перечнях;
· 3.4.11. сведения о воинском учете; сведения о миграционном учете;
· 3.4.12. изображение человека (фото- и видеоизображение), которое позволяет установить личность и с этой целью используется Оператором;
· 3.4.13. электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования приложений и информационных ресурсов Общества, действия пользователей в сервисах, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент);
· 3.4.15. состояние здоровья; сведения об инвалидности, о нетрудоспособности;
· 3.4.16. сведения о поощрениях, наградах, взысканиях и привлечении к ответственности;
· 3.4.17. иные сведения, предусмотренные типовыми формами, установленным порядком и целями обработки.
3.5. Обработка персональных данных в Обществе ведется смешанным способом: с использованием средств автоматизации и без.
3.6. Действия с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности Общества, обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться соглашениями или локальными актами Общества.
3.8. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.
3.9. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий:
· 3.9.1. достижение целей обработки персональных данных или максимальных сроков хранения – подлежит уничтожению либо обезличиванию в течение 30 дней;
· 3.9.2. утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
· 3.9.3. предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
· 3.9.4. невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
· 3.9.5. отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
· 3.9.6. отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров/работ/услуг – в течение 2 дней;
· 3.9.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
4. Получение согласия субъекта на обработку его персональных данных
4.1. В случаях обработки, не предусмотренных действующим законодательством или договором с субъектом явно, обработка осуществляется после получения согласия субъекта персональных данных. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем (физическим лицом) в маркетинговых целях, при продвижении товаров/работ/услуг Общества на рынке.
4.2. Согласие может быть выражено в форме совершения субъектом персональных данных конклюдентных действий, например:
· 4.2.1. принятия условий договора-оферты, правил пользования информационными ресурсами и сервисами Общества;
· 4.2.2. продолжения взаимодействия с пользовательскими интерфейсами, работы в приложениях, сервисах, информационных ресурсах Общества (оставаясь на сайтах Общества, пользователь считается принявшим настоящую Политику);
· 4.2.3. проставления отметок, заполнения соответствующих полей в формах, бланках;
· 4.2.4. поддержания электронной переписки, в которой говорится об обработке;
· 4.2.5. прохода на территорию/ в офисы Общества после ознакомления с предупреждающими табличками и знаками;
· 4.2.6. иных действий, совершаемых субъектом, по которым можно судить о его волеизъявлении.
4.3. В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных 152- ФЗ, а также в соответствии с иными применимыми требованиями, типовыми формами.
4.4. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
4.5. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, Общество не сможет осуществить необходимые действия для достижения соответствующих обработке целей. Например, в таком случае услуга по договору может быть не оказана, резюме соискателя на вакансию не будет рассмотрено и т.д.
5. Обработка электронных пользовательских данных, включая cookies
5.1. Общество в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия пользователя и совершения им каких-либо действий по отправке данных.
5.2. Достоверность собранных таким способом электронных данных в Обществе не проверяется, информация обрабатываются «как есть» в том виде, как она поступила с клиентского (пользовательского) устройства.
5.3. Посетители и пользователи сайтов Общества оставаясь на сайтах считаются ознакомившимися с Политикой и принявшими условия обработки. Это означает, что при посещении и использовании сайтов, информационных ресурсов Общества в браузер на устройстве пользователя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Такая информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Общества.
5.4. Обработка данных cookies необходима Обществу для корректной работы сайтов, в частности, их функций, относящихся к доступу зарегистрированных пользователей товаров/работ/услуг и ресурсов Общества; персонализации пользователей; повышения эффективности и удобства работы с сайтами, а также иных целей, предусмотренных Политикой.
5.5. Кроме обработки данных cookies, установленных самими сайтами Общества, пользователям и посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайтах Общества используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления пользователей сайтов Общества. К таким случаям может относиться размещение на сайтах:
· 5.5.1. счетчиков посещений, аналитических и статистических сервисов, таких как Яндекс.Метрика или Google Analytics для сбора статистики посещаемости общедоступных страниц сайтов;
· 5.5.2. систем контекстной рекламы, баннерных и иных маркетинговых сетей;
· 5.5.3. кнопок авторизации на сайтах с помощью учетных записей в социальных сетях;
· 5.5.4. иных сторонних компонент, используемых Обществом на своих сайтах.
5.6. Нахождение посетителем или пользователем на сайтах Общества в соответствии с Политикой расценивается как согласие на обработку данных cookies на сайтах Общества.
5.7. В случае, если посетитель или пользователь не согласен с обработкой cookies, он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
· 5.7.1. произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов, либо для конкретного сайта Общества или сайта стороннего компонента;
· 5.7.2. переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим;
· 5.7.3. покинуть сайт во избежание дальнейшей обработки cookies.
5.8. Пользователь или посетитель может самостоятельно через встроенные в браузеры средства работы с данными cookies управлять сохраненными данными, в том числе, удалять или просматривать сведения об установленных сайтами cookies, включая:
· 5.8.1. адреса сайтов и пути на них, куда будут отправляться cookies;
· 5.8.2. названия и значения параметров, хранящихся в cookies;
· 5.8.3. сроки действия cookies.
6. Конфиденциальность и безопасность персональных данных
6.1. Для персональных данных в Обществе обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Общества, условиями заключенных соглашений и договоров Общества, кроме случаев:
· 6.1.1. если персональные данные являются общедоступными;
· 6.1.2. если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с применимым к Обществу законодательством.
6.2. Общество предпринимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
· 6.2.1. назначение физических или юридических лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Обществе;
· 6.2.2. издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними сотрудников;
· 6.2.3. обучение сотрудников по вопросам обработки персональных данных, обеспечения информационной безопасности;
· 6.2.4. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
· 6.2.5. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
· 6.2.6. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз;
· 6.2.7. применение средств обеспечения безопасности (антивирусных средств, средств защиты от несанкционированного доступа, иных средств);
· 6.2.8. учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
· 6.2.9. резервное копирование информации для возможности восстановления;
· 6.2.10. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;
· 6.2.11. проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;
· 6.2.12. иные меры в соответствии с применимым законодательством и локальными актами Общества.
7. Права субъектов персональных данных
7.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Обществу по почте или обратившись лично.
7.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
· 7.2.1. подтверждение факта обработки персональных данных Обществом;
· 7.2.2. правовые основания и цели обработки персональных данных;
· 7.2.3. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
· 7.2.4. сроки обработки персональных данных, в том числе сроки их хранения;
· 7.2.5. порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
· 7.2.6. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· 7.2.7. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
· 7.2.8. иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.
7.3. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав.
7.4. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в Роскомнадзор, иной уполномоченный надзорный орган или в судебном порядке.
7.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Ответственность
8.1. Права, обязанности и ответственность Общества определяются применимым законодательством, настоящей Политикой.
8.2. Ответственность сотрудников Общества, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и сотрудником договора, обязательства о неразглашении информации, локальных актов Общества.
8.3. Контроль исполнения требований Политики в Обществе осуществляется в общем случае ответственными за организацию обработки персональных данных в Обществе, либо уполномоченными лицами в соответствии с локальными актами Общества.
8.4. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Общества, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и контрагентом договора, соглашения о конфиденциальности информации или иного соглашения.
8.5. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном применимым законодательством, локальными актами, соглашениями Общества.
9. Опубликование и актуализация Политики
9.1. Политика разрабатывается лицами, ответственными за организацию обработки персональных данных в Обществе, и вводится в действие после утверждения генеральным директором Общества.
9.2. Политика является общедоступным документом Общества и предусматривает возможность ознакомления любых лиц с ее действующей версией, путем опубликования в сети интернет по адресу: https://tst-ur.ru/personal-info/
9.3. Веб-формы, бланки, типовые формы Общества для сбора персональных данных в обязательном порядке содержат уведомления пользователей об обработке персональных данных в соответствии с Политикой и с ссылкой на нее.
9.4. Политика действует бессрочно после утверждения и до ее замены новой версией. Общество имеет право вносить изменения в Политику без уведомления любых лиц. Политика актуализируется по мере необходимости.
9.5. Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу ural@tst-ur.ru.
10. Cведения об операторе
10.1. Место нахождения и контактная информация: ООО «ТСТ», ИНН 6658402800, адрес: 620016, Российская Федерация, г. Екатеринбург, ул. Амундсена, д. 103, 2 этаж.
10.2. Используемые Обществом при сборе, в том числе посредством информационно-телекоммуникационной сети «Интернет», для записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации, базы данных находятся на территории Российской Федерации по адресу: 620016, Российская Федерация, г. Екатеринбург, ул. Амундсена, д. 103, 2 этаж.