Забронировать Помощь

Политика безопасности персональных данных


УТВЕРЖДЕНА
Советом директоров ООО «БАРУС»

Протокол № 41-2022 от 22.09.2022 года



Политика ООО «БАРУС» в области обработки и обеспечения безопасности персональных данных

(Редакция № 2)

г. Москва

2022

1. Общие положения

Настоящая Политика ООО «БАРУС» в области обработки и обеспечения безопасности персональных данных (далее – Политика) является внутренним нормативным документом, закрепляющим принципы, цели и направления деятельности ООО «БАРУС» (далее – Компания) в области обработки и обеспечения безопасности персональных данных.

Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными нормативными актами Российской Федерации, определяющими порядок обработки и обеспечения безопасности персональных данных (далее – законодательство о персональных данных).

Положения и требования настоящей Политики распространяются на все обрабатываемые в Компании персональные данные субъектов.

Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Компании, осуществляющими обработку персональных данных.

Настоящая Политика подлежит размещению на страницах принадлежащего Компании сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных субъектов.

2. Основные понятия в области персональных данных

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных – юридическое лицо самостоятельно или совместно с третьими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними.

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются оператором персональных данных.

Обработка персональных данных – любое действие, совершаемое с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы обработки персональных данных

Обработка персональных данных в Компании осуществляется с соблюдением следующих принципов и правил:

4. Права субъекта персональных данных

Субъект персональных данных имеет право:

Порядок направления субъектом персональных данных обращений и запросов Компании

Для реализации своих прав субъект персональных данных может направить обращение или запрос в Компанию.

В соответствии с требованиями законодательства запрос (обращение) субъекта персональных данных или его законного представителя должен содержать следующую информацию:

Для корректной и оперативной обработки субъекту персональных данных рекомендуется осуществлять оформление запросов и обращений в соответствии с установленной типовой формой для каждого вида запроса (обращения), представленной во внутренних нормативных документах Компании. Субъект персональных данных имеет право отказаться от использования типовой формы и предоставить запрос или обращение в другой форме.

Субъект персональных данных может направить свой запрос (обращение) Компании одним из удобных для него способов:

5. Обязанности Компании при обработке персональных данных

При осуществлении обработки персональных данных Компания обязана:

-          наименование и адрес местонахождения Компании;

-          цель обработки персональных данных и ее правовое основание;

-          перечень персональных данных;

-          предполагаемые пользователи персональных данных;

-          права субъекта персональных данных;

-          источник получения персональных данных.

6. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных в Компании являются:

7. Категории субъектов персональных данных и цели обработки персональных данных

Категории субъектов персональных данных

В Компании осуществляется обработка персональных данных следующих категорий субъектов:

Цели обработки персональных данных

Обработка персональных данных кандидатов на вакантные должности осуществляется с целью подбора персонала на открытые вакансии.

Обработка персональных данных работников осуществляется в целях:

Обработка персональных данных уволенных работников осуществляется в целях выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете.

Обработка персональных данных родственников работников осуществляется в целях предоставления социальных льгот и компенсаций работникам и (или) родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации.

Обработка персональных данных представителей контрагентов (юридических лиц) осуществляется в целях:

Обработка персональных данных представителей контрагентов (физических лиц, индивидуальных предпринимателей) осуществляется в целях:

Обработка персональных данных заказчиков и потребителей гостиничных услуг (далее – клиентов), в том числе несовершеннолетних, осуществляется в целях:

Обработка персональных данных посетителей сайта осуществляется в целях сбора статистики посещаемости сайта, анализа и улучшения работы сервисов сайта www.sbcc.ru.

8. Состав и категории обрабатываемых персональных данных, сроки обработки и хранения

Обработка персональных данных осуществляется Компанией с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).

Состав обрабатываемых персональных данных, сроки обработки и хранения

В соответствии с заявленными целями обработки персональных данных в Компании осуществляется обработка следующих персональных данных в обозначенные для этого сроки:

Категории обрабатываемых персональных данных

В Компании обрабатываются специальные категории персональных данных, касающиеся состояния здоровья работников, только в случаях, предусмотренных трудовым законодательством Российской Федерации.

В Компании не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

В Компании не создаются общедоступные источники персональных данных.

В Компании не обрабатываются персональные данные, разрешенные субъектом персональных данных для распространения.

9. Использование cookie-файлов

Компания может собирать следующие типы сookie-файлов:

Целями сбора такой информации являются:

Заявление о конфиденциальности информации, собираемой при посещении сайта, опубликовано на сайте www.sbcc.ru (https://sbcc.ru/).

Посетитель сайта может в любое время отключить cookie-файлы или настроить браузер для предупреждения о получении таких файлов. Чтобы узнать больше о том, как скорректировать или изменить настройки браузера, необходимо обратиться к инструкции используемого браузера.

10. Порядок и условия обработки персональных данных

Сбор персональных данных

Сбор персональных данных осуществляется непосредственно у самого субъекта персональных данных либо через других лиц, привлекаемых для сбора данных с последующей их передачей в Компанию.

При сборе персональных данных на страницах сайта www.sbcc.ru (https://sbcc.ru/) Компания предоставляет субъекту персональных данных возможность ознакомления с настоящей Политикой и дать согласие на обработку персональных данных свободно, своей волей и в своем интересе.

Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг Компании и иных третьих лиц с помощью средств связи может осуществляться только при условии получения предварительного согласия на это субъекта.

Если в соответствии с законодательством Российской Федерации предоставление персональных данных и (или) получение Компанией согласия на обработку персональных данных являются обязательными, Компания разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

Если персональные данные получены не от субъекта персональных данных, Компания до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:

Компания освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если субъект уведомлен об осуществлении обработки его персональных данных, либо если персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого является субъект.

Условия передачи персональных данных третьим лицам

Предоставление персональных данных субъектов органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

Передача персональных данных между подразделениями Компании осуществляется только между работниками, имеющими доступ к персональным данным субъектов.

Представителю субъекта (в том числе родственникам или членам семьи) персональные данные субъекта передаются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия таких представителей, и документов, удостоверяющих личность представителя.

Передача персональных данных субъекта третьему лицу осуществляется только с согласия субъекта. В согласии субъекта персональных данных указывается третье лицо, которому передаются персональные данные, а также цель передачи и обработки персональных данных.

Передача персональных данных или поручение обработки персональных данных третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных в соответствии с требованиями законодательства о персональных данных.

При передаче персональных данных третьим лицам, которые на основании договоров осуществляют обработку персональных данных, в порядке, установленном законодательством Российской Федерации, Компания ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

Трансграничная передача персональных данных не осуществляется.

Хранение персональных данных

Сроки обработки персональных данных определяются в соответствии с:

Хранение персональных данных в информационных системах Компании и на бумажных носителях до их передачи в архив осуществляется в соответствии с действующим законодательством Российской Федерации.

На момент утверждения настоящей Политики срок архивного хранения документов, содержащих персональные данные, регламентируется Приказом Росархива от 20.12.2019 №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

Документы на бумажных носителях, резервные копии баз данных информационных систем хранятся в специально выделенных помещениях Компании, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

В случае утраты документов и иных носителей, содержащих персональные данные, а также их порчи, приводящей к невозможности использования, Компания принимает все возможные меры по их восстановлению.

Прекращение обработки и уничтожение персональных данных

Прекращение обработки персональных данных осуществляется:

В случае обращения субъекта с требованием прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Компания незамедлительно прекращает их обработку.

В случае выявления неправомерной обработки персональных данных, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.

В случае отзыва субъектом согласия на обработку его персональных данных Компания прекращает такую обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих персональные данные, а также договором стороной которого является субъект.

В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Компания в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.

В случае утраты необходимости в достижении целей Компания уничтожает обрабатываемые персональные данные в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

По истечении установленных сроков хранения персональных данных Компания уничтожает обрабатываемые персональные данные в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

Уничтожение персональных данных, обрабатываемых автоматизированным способом, выполняется средствами операционной системы и/или системы управления базами данных.

Для уничтожения материальных носителей (машинных, бумажных) персональных данных приказом создается комиссия по уничтожению персональных данных из состава работников Компании. Акты об уничтожении материальных носителей персональных данных хранятся у ответственного за обеспечение безопасности персональных данных. Физическое уничтожение материальных носителей персональных данных в бумажном виде производится путем шредирования - уничтожения документа посредством его разрезания на мелкие полосы либо кусочки в специальном устройстве – шредере.

Уничтожение персональных данных вместе с машинным носителем осуществляется в следующих случаях:

Уничтожение материальных носителей персональных данных обеспечивает полное физическое и невосстановимое уничтожение персональных данных, содержащихся на таких носителях.

11. Конфиденциальность персональных данных

Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.

В соответствии с настоящей Политикой персональные данные субъектов являются конфиденциальной информацией.

Доступ к обрабатываемым персональным данным предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей.

Работники Компании, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.

Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать требования договоров и соглашений с Компанией в части обеспечения конфиденциальности и безопасности персональных данных.

12. Безопасность персональных данных

В Компании соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Безопасность персональных данных Компании обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры.

В целях обеспечения безопасности персональных данных в Компании выполняются следующие мероприятия:

13. Уведомление уполномоченного органа по защите прав субъектов персональных данных

В случаях, установленных Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», Компания направляет уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.

В случае изменений сведений об обработке персональных данных Компания уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, установленные частью 7 статьи 22 Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных».

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания с момента выявления такого инцидента, уведомляет уполномоченный орган по защите прав субъектов персональных данных:

Компания сообщает по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

14. Заключительные положения

Настоящая Политика может быть пересмотрена и изменена путем утверждения Политики в новой редакции в установленном в Компании порядке в случае изменения законодательства Российской Федерации или внутренних нормативных документов Компании, определяющих порядок обработки и защиты персональных данных, а также в иных случаях.

Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Компании.

Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними нормативным документами Компании.

Контактная информация

Любые обращения, касающиеся обработки персональных данных, направляются на электронную почту - info@barus.ooo либо по почтовому адресу – 119334, Россия, г. Москва, Ленинский проспект, д. 32.


Наверх