Политика в отношении обработки персональных данных в ООО «ТДМ»

1. Общие положения

1.1. Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «ТДМ» (далее - Общество) является одной из приоритетных задач организации.

Данная политика является основой для определения требований к организации процессов обработки и хранения персональных данных, которые выражаются во внутренних нормативных документах и обязательны для исполнения всеми работниками Общества.

1.2. Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в сфере защиты персональных данных и в соответствии с локальными актами Общества.

1.3. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов, потребителей, посетителей сайта Общества и иных лиц, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в Обществе, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Обществу или субъектам персональных данных.

1.5. Основные понятия, используемые в политике

Автоматизированная обработка персональных данных

обработка персональных данных с использованием средств вычислительной техники.

Авторизация

подтверждение прав пользователя на совершение действий на сайте путем прохождения пользователем процедур идентификации и аутентификации.

Аутентификация

проверка подлинности пользователя путём сравнения введённого им логина и пароля с логином и паролем, сохранённым в базе данных.

Безопасность

состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность информации

состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование персональных данных

временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Документированная информация

зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Доступ к персональным данным

возможность получения информации и ее использования.

Жизненно важные интересы

совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Защита персональных данных

жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных.

Идентификация

присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система

взаимосвязанная совокупность средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации.

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация

сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных

действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Контрагент

юридическое лицо, ИП, физическое лицо, с которым заключается договор на оказание услуг, поставку товаров для нужд Общества.

Конфиденциальность персональных данных

обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона

пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц.

Модель угроз

перечень возможных угроз безопасности информации.

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обладатель информации

лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации.

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Объект информатизации

совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией.

Оператор

ООО «ТДМ», юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Потребитель

физическое лицо, либо имеющее намерение заказать или приобрести, либо заказывающее, приобретающее или использующее товары, работы, услуги исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Правила разграничения доступа

совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Работник

физическое лицо, вступившее в трудовые отношения с работодателем (Обществом).

Работодатель

ООО «ТДМ», вступившее в трудовые отношения с работником.

Сайт

совокупность программ для электронных вычислительных машин, баз данных, графических и текстовых материалов, объединённых единым назначением и обеспечивающих доступ к информации посредством сети Интернет по определённому сетевому адресу (URL).

Соискатели

лица, претендующие на свободную вакансию в Обществе.

Средства вычислительной техники

совокупность программных и технических элементов систем обработки данных.

Субъект персональных данных

физическое лицо, к которому относятся обрабатываемые персональные данные.

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угроза безопасности персональных данных

совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным.

Уничтожение персональных данных

действия, в результате которых невозможно восстановить содержание персональных данных.

Уполномоченные должностные лица

работники Общества, которым необходим доступ к персональным данным для выполнения функциональных обязанностей.

Уполномоченное оператором лицо

лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации

способность информационной системы обеспечивать неизменность информации.

URL

унифицированный указатель ресурса, определяющий адрес сайта в сети Интернет.

Cookies

текстовые файлы, сохраняемые на устройстве пользователя при посещении веб-ресурса.

1.6. Действие настоящей Политики распространяется на все сайты, информационные системы и мобильные приложения Общества, включая официальный сайт, расположенный по адресу: tdmtdm.ru.

2. Понятие и состав персональных данных

2.1. Перечень персональных данных, подлежащих защите в Обществе, определяется целями их обработки, Федеральным законом № 152-ФЗ «О персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.

2.2. В ООО «ТДМ» обрабатываются следующие категории персональных данных:

• персональные данные работников и соискателей: фамилия, имя, отчество, дата и место рождения, паспортные данные, адрес регистрации и проживания, ИНН, СНИЛС, сведения об образовании, трудовой деятельности, семейном положении, контактные данные;
• персональные данные контрагентов (представителей юридических лиц): фамилия, имя, отчество, должность, контактный телефон, адрес электронной почты;
• персональные данные потребителей (покупателей): фамилия, имя, отчество, контактный телефон, адрес электронной почты, адрес доставки;
• персональные данные посетителей сайта: IP-адрес, данные об устройстве, поведении на сайте, файлы cookie.

3. Порядок и условия обработки персональных данных

3.1. Основные нормативные документы, регулирующие политику обработки персональных данных:

3.1.1. Федеральные законы о персональных данных и информационной безопасности

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.1.2. Нормативные акты по обработке и хранению персональных данных

• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ Федерального архивного агентства от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов с указанием сроков их хранения».

3.2. Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.3. Обработка персональных данных осуществляется на основании согласия Субъекта персональных данных, а также на иных законных основаниях, предусмотренных действующим законодательством Российской Федерации.

3.4. Под обработкой персональных данных в Обществе понимается любое действие или совокупность действий с персональными данными.

3.5. Оператор вправе передавать персональные данные органам государственной власти и иным уполномоченным субъектам исключительно на основаниях, предусмотренных действующим законодательством.

3.6. Обработка персональных данных осуществляется на основании принципов:

• законность и добросовестность целей и способов обработки;
• обработка ограничивается достижением конкретных, заранее определённых и законных целей;
• содержание и объём обрабатываемых персональных данных соответствуют заявленным целям;
• точность, достаточность и актуальность персональных данных;
• недопустимость объединения баз данных, если цели обработки несовместимы;
• хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки;
• соответствие целей, объёма, категорий и способов обработки требованиям законодательства РФ.

3.7. Оператор вправе передавать персональные данные третьим лицам только при наличии законных оснований.

3.8. Передача персональных данных третьим лицам осуществляется только на основании заключённых договоров, предусматривающих обязательство третьих лиц обеспечивать конфиденциальность.

3.9. Оператор вправе привлекать третьих лиц для обработки персональных данных при условии обеспечения ими защиты данных.

3.10. Субъект персональных данных уведомляется о факте передачи его персональных данных третьим лицам, если это требуется законом.

3.11. Информация о контрагентах, которым передаются персональные данные, оформлена в виде реестра.

3.12. Порядок уничтожения персональных данных при достижении целей обработки осуществляется в соответствии с законодательством.

4. Использование cookie-файлов

4.1. Цели использования Cookies:

• ведение статистики и анализа работы Сайта;
• сбор аналитических данных - регистрация статистики взаимодействия пользователей с веб-ресурсом;
• обнаружение и устранение ошибок - мониторинг технических сбоев.

4.2. Cookies могут быть разделены на два типа:

• технически необходимые cookies - обеспечивают базовую функциональность сайта;
• аналитические cookies - используются для сбора статистики о взаимодействии пользователей.

4.3. Используемые на Сайте cookies:

• собственные cookies - необходимые для нормальной работы сайта;
• сторонние аналитические cookies:
• _ga, gat*, _gid - аналитические cookies сервиса Google Analytics. Обрабатываются с целью ведения статистики и анализа работы Сайта. Передача персональных данных осуществляется с соблюдением требований законодательства РФ о трансграничной передаче персональных данных;
• _ym_uid, _ym_d, _ym_isad, _ym_visorc - аналитические cookies сервиса Яндекс.Метрика. Обрабатываются с целью ведения статистики и анализа работы Сайта.

4.4. Для прекращения обработки Cookie пользователи могут в настройках браузера самостоятельно ограничить или полностью отключить их использование.

Инструкции для популярных браузеров:

• Google Chrome: https://support.google.com/chrome/answer/95647
• Mozilla Firefox: https://support.mozilla.org/ru/kb/uluchshennaya-zashchita-ot-otslezhivaniya
• Microsoft Edge: https://support.microsoft.com/ru-ru/windows/upravlenie-faylami-cookie
• Safari: https://support.apple.com/ru-ru/105082
• Yandex: https://yandex.ru/support/browser/personal-data-protection/cookies

5. Трансграничная передача персональных данных

5.1. ООО «ТДМ» осуществляет трансграничную передачу персональных данных с целью ведения статистики и анализа работы Сайта посредством сервиса Google Analytics.

5.2. Информация, хранящаяся в cookie-файлах (включая IP-адрес), может быть передана и сохранена на серверах Google, которые могут находиться за пределами Российской Федерации.

5.3. Пользователь, продолжая использовать сайт или нажимая кнопку согласия в информационном уведомлении, выражает согласие на обработку своих cookie, включая их трансграничную передачу сервису Google Analytics.

5.4. Сервис Google Analytics использует файлы cookie для сбора и анализа данных о поведении посетителей сайта.

5.5. Пользователи могут ограничить или полностью заблокировать сбор данных Google Analytics, установив официальную надстройку для браузера: https://tools.google.com/dlpage/gaoptout.

5.6. Политика конфиденциальности Google доступна по адресу: https://policies.google.com/privacy.

5.7. Условия использования Google Analytics: https://www.google.com/analytics/terms/us.html.

5.8. В отношении сервиса Яндекс.Метрика трансграничная передача персональных данных не осуществляется, обработка ведется в соответствии с законодательством РФ на основании договорных обязательств с ООО «Яндекс».

6. Особенности обработки персональных данных при использовании внешних сервисов авторизации

6.1. Настоящий раздел описывает порядок обработки персональных данных при использовании внешних сервисов авторизации на сайте Общества (при наличии таких сервисов).

6.2. Персональные данные, передаваемые Обществу посредством внешних сервисов авторизации, обрабатываются в соответствии с настоящей Политикой.

6.3. Общество не обрабатывает и не хранит аутентификационные данные субъектов (логины, пароли), используемые при авторизации через сторонние сервисы.

7. Сроки обработки персональных данных

7.1. Сроки обработки персональных данных устанавливаются в соответствии с:

• сроком действия договора (соглашения) с субъектом персональных данных;
• требованиями законодательства Российской Федерации;
• Приказом Федерального архивного агентства от 20 декабря 2019 г. № 236;
• иными нормативными актами.

7.2. В Обществе создаются и хранятся типовые формы документов с персональными данными в соответствии с внутренними положениями.

7.3. По истечении сроков хранения персональные данные подлежат уничтожению или обезличиванию.

8. Обеспечение безопасности персональных данных

8.1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных.

8.2. В ООО «ТДМ» приняты следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• назначен администратор безопасности информационной системы персональных данных;
• утверждены документы, определяющие политику Общества в отношении обработки персональных данных;
• для информационных систем персональных данных разработана модель угроз безопасности;
• проведена оценка эффективности принимаемых мер;
• сотрудники, допущенные к обработке персональных данных, проходят инструктажи и подписывают соглашение о неразглашении.

9. Права и обязанности оператора

9.1. ООО «ТДМ» как оператор персональных данных вправе:

• отстаивать свои интересы в суде;
• предоставлять персональные данные третьим лицам, если это предусмотрено законодательством;
• отказывать в предоставлении персональных данных в случаях, установленных законом;
• осуществлять трансграничную передачу персональных данных;
• использовать персональные данные без согласия субъекта в случаях, предусмотренных законом.

9.2. ООО «ТДМ» как оператор персональных данных обязано:

• обеспечивать конфиденциальность, целостность и безопасность персональных данных;
• назначать ответственных лиц;
• обеспечивать внутренний контроль и оценку эффективности мер защиты;
• по запросу субъекта предоставлять информацию об обработке его персональных данных;
• вносить изменения, блокировать или уничтожать персональные данные в случае их неполноты или недостоверности;
• публиковать Политику обработки персональных данных в неограниченном доступе;
• соблюдать требования законодательства РФ.

10. Права и обязанности субъекта персональных данных

10.1. Субъект персональных данных имеет право:

• требовать уточнения, блокирования или уничтожения своих персональных данных;
• получать перечень своих персональных данных, обрабатываемых Обществом;
• получать информацию о целях, условиях, способах и сроках обработки;
• требовать извещения всех лиц, которым были переданы неверные данные, об исправлениях;
• обжаловать неправомерные действия в уполномоченном органе или в суде;
• в любой момент отозвать согласие на обработку персональных данных.

10.2. Порядок направления запроса или отзыва согласия

Для идентификации субъекта при отзыве согласия или направлении запроса необходимо предоставить:

• фамилию, имя, отчество субъекта;
• реквизиты документа, удостоверяющего личность;
• сведения, подтверждающие наличие отношений с Обществом;
• контактные данные для ответа;
• подпись субъекта или его представителя.

Запрос или отзыв согласия может быть направлен следующими способами:

• в письменной форме заказным письмом с уведомлением по адресу: 192102, г. Санкт-Петербург, ул. Касимовская, д. 5, лит. Б, этаж/помещение 1/111;
• лично под роспись уполномоченному должностному лицу Общества по вышеуказанному адресу;
• по электронной почте: info@tdm-neva.ru с указанием в теме письма «Запрос персональных данных» или «Отзыв согласия».

10.3. Обязанности субъекта персональных данных

• предоставлять достоверные персональные данные;
• своевременно информировать Общество об изменении персональных данных;
• соблюдать требования законодательства РФ.

11. Заключительные положения

11.1. К настоящей Политике обеспечивается неограниченный доступ.

11.2. Настоящая Политика подлежит изменению и дополнению в случае появления новых законодательных актов, но не реже одного раза в три года.

11.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «ТДМ».

11.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований определяется в соответствии с законодательством РФ и внутренними документами ООО «ТДМ».

11.5. По вопросам обработки персональных данных, реализации прав субъектов персональных данных, а также для направления запросов субъекты могут обращаться:

Настоящая Политика вступает в силу с момента её утверждения и действует до принятия новой редакции.