УТВЕРЖДАЮ
Д.А. Кайсин
Директор
ООО "ГРУЗОВОЙ СЕРВИС"
Приказ № 23
от "12" Ноября 2024г.
ПОЛИТИКА КОМПАНИИ
в отношении обработки персональных данных
1. Термины и определения
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Организации с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2. Информационная система – совокупность содержащихся в базе данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Блокировка персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
1.4. Использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.6. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7. Оператор персональных данных – Общество с ограниченной ответственностью «ГРУЗОВОЙ СЕРВИС» (ООО «ГРУЗОВОЙ СЕРВИС»), осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.9. Платформа – программное обеспечение, используемое Оператором, представляющее собой набор взаимосвязанных веб-сервисов и модулей, составляющих единое пространство предоставления услуг в сети Интернет.
1.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определяемому кругу лиц.
1.11. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
1.13. Сайт – совокупность информации, текстов, графических элементов, дизайна, изображений, фото и видеоматериалов и иных результатов интеллектуальной деятельности, а также программ для ЭВМ, содержащихся в информационной системе, обеспечивающей доступность такой информации в сети Интернет по сетевому адресу (включая поддомены): https://www.man159.ru/ и https://www.sitrak159.ru/.
1.14. Субъект персональных данных (СПД) – физическое лицо, которому принадлежат обрабатываемые Оператором персональные данные.
1.15. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.16. Файлы cookie – данные, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве субъекта персональных данных программного обеспечения, в том числе: IP-адрес, географическое местоположение, информация о браузере и виде операционной системы устройства субъекта персональных данных, технические характеристики оборудования и программного обеспечения, используемых субъектом персональных данных, дата и время доступа к Сайту.
1.17. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Организация обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки персональных данных в соответствии с частью 2 статьи 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
2.Общие положения
Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в соответствии с пунктом 2, части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон «О персональных данных») и принятыми в соответствии с ними нормативными правовыми актами РФ.
2.1. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
2.2. Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
2.2.1. законности и справедливой основы;
2.2.2. ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
2.2.3. недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
2.2.4. недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.2.5. обработки только тех персональных данных, которые отвечают целям их обработки;
2.2.6. соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
2.2.7. недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
2.2.8. обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
2.2.9. уничтожения, либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
2.3. Целью разработки настоящей Политики является определение порядка сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных, обрабатываемых Оператором.
2.4. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайтах Оператора: https://www.man159.ru/ и https://www.sitrak159.ru/ и в офисе организации Оператора по адресу: 614531, Пермский край, Пермский р-н, п. Горный, Березовый переулок, д. 5, в распечатанном виде на бумажном носителе на информационном стенде компании.
2.5. В случае несогласия с условиями Политики, Субъект персональных данных должен немедленно прекратить любое использование Сайта или передачу персональных данных Оператору иным образом, а также направить Оператору соответствующий запрос о прекращении обработки его персональных данных, ранее переданных Оператору.
3. Права и обязанности оператора персональных данных
Оператор обязан:
3.1. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных Законом «О персональных данных».
3.2. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.3. Оператор вправе осуществлять сбор, обработку, распространение персональных данных субъектов в пределах, указанных в согласии субъекта персональных данных на такие действия: сбор, обработку, распространение.
3.4. Предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
3.5. Предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных в течение 10 (десяти) рабочих дней с даты получения запроса от субъекта персональных данных. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
3.6. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
3.6.1. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
3.6.2. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.6.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование.
3.6.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки.
3.6.5. Обработка персональных данных в целях продвижения товаров, работ, услуг сервиса на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, осуществляется Оператором только при условии предварительного согласия субъекта персональных данных.
3.6.6. В случае получения персональных данных субъекта не от такого субъекта Оператор обязан, кроме случаев, установленных законодательством РФ, до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
1)наименование, либо фамилия, имя, отчество и адрес оператора или его представителя;
2)цель обработки персональных данных и ее правовое основание;
3)предполагаемые пользователи персональных данных;
4)права субъекта персональных данных, установленные Федеральным законом;
5)источник получения персональных данных.
3.7. Оператор обязан составлять специальный акт об уничтожении персональных данных в случаях уничтожения материальных носителей, содержащих персональные данные, а также в случаях уничтожения персональных данных, обработанных с использованием средств автоматизации вместе с совершением выгрузки из журнала регистрации событий в информационной системе персональных данных.
3.8. Оператор обязан оценить степень вреда, который может быть причинен субъектам персональных данных и составить соответствующий акт.
3.9. Оператор несет иные обязанности, предусмотренные законодательством РФ.
4. Права и обязанности субъекта персональных данных
4.1. Субъект персональных данных имеет право:
4.1.1. Направлять Оператору свои запросы и требования (далее – Обращение), в том числе относительно использования его персональных данных, а также отзыва согласия на обработку персональных данных. Обращение может быть направлено следующими способами: вручено лично, направлено заказным письмом, направлено в форме электронного документа, подписанного электронной подписью.
4.1.2. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Законом «О персональных данных» или другими федеральными законами.
4.1.3. Требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.1.4. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в Роскомнадзоре или в судебном порядке.
4.1.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
4.2. Субъект персональных данных обязан:
- предоставлять Оператору достоверные данные о себе;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
5. Цели обработки персональных данных
5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.3. Обработка Оператором персональных данных осуществляется в следующих целях:
• обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
• осуществление своей хозяйственной деятельности в соответствии с внутренними локальными нормативными актами Оператора, Устава ООО «ГРУЗОВОЙ СЕРВИС»;
• оформление документов в рамках трудовых и гражданско-правовых отношений, отношений с самозанятыми лицами; ведения кадрового учета и кадрового делопроизводства в организации; привлечение и отбор кандидатов на работу у Оператора;
• обеспечение соблюдения бухгалтерского, налогового, пенсионного законодательства Российской Федерации, обязательного социального и медицинского страхования работников; организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования; социального страхования; ведение бухгалтерского, налогового учета; заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• осуществление обучения, ученичества, повышения квалификации работников, профессиональная переподготовка работников; взаимодействие с учебными заведениями в части привлечения на производственную практику учащихся, студентов высших и средних профессиональных учебных заведений.
• обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Оператора;
• улучшение качества оказываемых Оператором услуг сервиса, технического обслуживания и текущего ремонта по договорам оказания сервиса, купли-продажи с контрагентами (клиентами);
• рекламирование/продвижение товаров/сервисных услуг Оператора;
• идентификация клиента/Пользователя/контрагента сайтов: https://www.man159.ru/ и https://www.sitrak159.ru/, предоставление клиенту/пользователю/контрагенту возможности полноценного использования сайтов: https://www.man159.ru/ и https://www.sitrak159.ru/;
• Направление материалов сайтов: https://www.man159.ru/ и https://www.sitrak159.ru/, рекламной информации на электронную почту клиента/Пользователя/контрагента, по номеру телефона клиента/Пользователя/контрагента в мессенджерах: «WhatsApp», «Viber»,
«Telegram» и др. (при выражении на это согласия):
1. Направление клиенту/Пользователю/контрагенту уведомлений и информации, связанных с использованием сайта, оказанием услуг, сервиса, а также обработка запросов и заявок клиента/пользователя/контрагента.
2. Установление и поддержание связи между клиентом/Пользователем/контрагентом и ООО «ГРУЗОВОЙ СЕРВИС», консультирование по вопросам оказания услуг и сервисов компании.
3. Заключение договоров и исполнение обязательств перед клиентом/Пользователем/контрагентом по ним (в частности, договорам оказания услуг, сервиса, договорам технического обслуживания и текущего ремонта, иным договорам)
4. Предоставление клиенту/Пользователю/контрагенту эффективной технической поддержки при возникновении проблем, связанных с использованием сайтов: https://www.man159.ru/ и https://www.sitrak159.ru/.
5. Размещение на сайтах, в официальных группах социальных сетей и иных сообществах компании в сети Интернет, прочих рекламных и информационных источниках, в целях, не связанных с установлением личности клиента/Пользователя/контрагента: видеоматериалов, полученных в процессе оказания услуг, сервиса, оставленных клиентов/Пользователем/контрагентом отзывов об услугах, оказываемых ООО «ГРУЗОВОЙ СЕРВИС»
6. Статистические и иные исследования на основе обезличенной информации, предоставленной клиентом/Пользователем/контрагентом.
6. Согласие Субъекта персональных данных
на обработку персональных данных
6.1. Субъект персональных данных принимает условия Политики и дает Оператору конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой и Законом.
6.2. Субъект персональных данных дает согласие на обработку персональных данных, распространение и передачу его персональных данных следующим образом:
6.2.1. путем заполнения Согласия на обработку персональных данных, Согласия на распространение персональных данных, Согласия на передачу персональных данных третьим лицам, Согласие на обработку биометрических персональных данных на бумажных носителях, выдаваемых Оператором по адресу: Пермский район, пос. Горный, Березовый переулок, дом 5;
6.2.2. при любом использовании Сайтов: https://www.man159.ru/ и https://www.sitrak159.ru/, персональные данные передаются Оператору автоматически в процессе использования, с помощью установленного на устройстве субъекта персональных данных программного обеспечения. Субъект персональных данных считается предоставившим согласие на обработку своих персональных данных в момент начала использования Сайта https://www.man159.ru/ или https://www.sitrak159.ru/. Субъект данных считается предоставившим согласие на обработку своих персональных данных при нажатии соответствующей кнопки или проставления соответствующей отметки при использовании файлов cookie.
6.3. Согласие субъекта персональных данных на обработку Оператором его персональных данных действует со дня предоставления согласия на их обработку, и в течение срока, необходимого для достижения целей обработки персональных данных.
6.4. Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив Оператору уведомление по средствам электронной почты на электронный адрес Оператора info@man159.ru с пометкой «Отзыв согласия на обработку персональных данных», либо лично, обратившись в офис Оператора по адресу: Пермский край, Пермский р-н, пос. Горный, Березовый переулок, дом.5
7. Персональные данные, предоставляемые Оператору
7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 5 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
7.2.1. Кандидаты для приема на работу к Оператору:
фамилия, имя, отчество; пол; гражданство; дата и место рождения; контактные данные; сведения об образовании, опыте работы, квалификации; биометрические персональные данные, включая фото, предоставляемое при направлении субъектом персональных данных резюме; иные персональные данные, сообщаемые кандидатами в резюме, анкете и сопроводительных письмах;
7.2.2. Работники и бывшие работники Оператора:
фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; сведения о воинском учете; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; видео с изображением субъекта персональных данных, созданные на территории (в помещениях) Оператора; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.2.3.Члены семьи работников Оператора:
фамилия, имя, отчество; степень родства; год рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
7.2.4. Контрагенты Оператора (физические лица, заключившие с оператором гражданско-правовой договор, договор с самозанятыми лицами, договор возмездного оказания услуг и пр.):
фамилия, имя, отчество; адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (мобильный); паспортные данные; страховой номер индивидуального лицевого счета (СНИЛС); адрес электронной почты; фото и видео с изображением субъекта персональных данных, созданные на территории (в помещениях) Оператора; иные персональные данные,предоставляемые контрагентами, необходимые для заключения и исполнения гражданско-правовых договоров, договоров возмездного оказания услуг, договоров с самозанятыми;
7.2.5. Ученики Оператора, студенты Оператора, лица, обучающиеся у Оператора по договорам, заключенным между Оператором и клиентом:
фамилия, имя, отчество, пол, возраст, дата рождения, сведения о месте учебы и об образовании (наименование учебного заведения, результаты обучения), паспортные данные (при наличии), адрес регистрации, сведения о состоянии здоровья (в случае предоставления соответствующих справок), место работы, должность, результаты обучения у Оператора; Фамилия, имя, отчество законного представителя ученика, паспортные данные законного представителя ученика; биометрические данные, включающие в себя результаты фото- и видеосъемки, проводимой Оператором, видеозаписи, сделанные с помощью камер видеонаблюдения, установленных на территории (в помещениях) Оператора.
7.2.6. Контрагенты Оператора (Клиенты):
фамилия, имя, отчество; паспортные данные; контактные данные; мобильный телефон; место работы, должность, банковские реквизиты; видео с изображением субъекта персональных данных, созданные на территории (в помещениях) Оператора; иные персональные данные, предоставляемые контрагентами, необходимые для заключения и исполнения договоров с Оператором.
7.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
7.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
8. Правовые основания обработки персональных данных
Обработка персональных данных субъектов персональных данных осуществляется на следующих правовых основаниях:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральныйзаконот15.12.2001N167-ФЗ"Обобязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
- Федеральный закон от 15.12.2021 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний в Российской Федерации»
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Иные применимые нормативно-правовые акты
- Договоры, заключаемые между Оператором и Субъектом персональных данных и/или его работодателем;
- Согласие Субъекта персональных данных на обработку персональных данных
- Локальные нормативные акты Оператора в области обработки персональных данных.
9. Обработка персональных данных
9.1. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных субъекта.
9.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
9.3. Обработка персональных данных включает совершение Оператором следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
9.4. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
9.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
9.6. Передача персональных данных Органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд Российской Федерации, и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
9.7. Хранение персональных данных осуществляется (в зависимости от того, какое событие наступит раньше):
9.7.1. до момента их уничтожения Оператором - в случае поступления от Субъекта персональных данных отзыва согласия на обработку персональных данных или требования об уничтожении персональных данных;
9.7.2. до момента истечения срока действия согласия или достижения целей обработки персональных данных.
9.8. Распространение персональных данных может осуществляться Оператором исключительно в следующих случаях:
9.8.1. с целью исполнения обязательств по заключенному между Оператором и субъектом персональных данных или его работодателем договору;
9.8.2. с целью размещения фото- и видео-материалов, полученных в процессе оказания Оператором услуг на основании гражданско-правового договора, в различных источниках информации;
9.8.3. с целью рекламирования услуг/товаров/сервиса Оператора.
9.9. Оператор вправе осуществлять передачу персональных данных третьим лицам с соблюдением требований действующего законодательства РФ.
9.10. Перечень разрешенных способов обработки персональных данных третьим лицом: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Третьему лицу запрещено осуществлять передачу и распространение персональных данных.
9.11. Уничтожение персональных данных осуществляется Оператором в следующих случаях:
9.11.1. поступление от субъекта персональных данных отзыва согласия на обработку персональных данных;
9.11.2. получение от субъекта персональных данных требования об уничтожении персональных данных;
9.11.3истечение срока действия согласия;
9.11.4. окончания срока хранения персональных данных в соответствии с договоренностями Оператора и субъекта персональных данных.
9.12. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
9.13. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых на ключ шкафах, либо в запираемых помещениях с ограниченным правом доступа.
9.14. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах.
9.15. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
9.16. Персональные данные на электронных носителях уничтожаются путем стирания или форматирование носителя.
10. Меры, применяемые Оператором для защиты персональных данных
10.1. Оператор самостоятельно принимает необходимые и достаточные правовые, организационные и технические меры для защиты информации, предоставляемой субъекту персональных данных, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
10.2. Основными организационными мерами по защите персональных данных являются:
10.2.1. регламентация состава третьих лиц, к услугам которых Оператор обращается в процессе обработки персональных данных;
10.2.2. строгое, избирательное и обоснованное распределение конфиденциальной информации, предоставляемой им к доступу;
10.2.3. надлежащая организация процесса уничтожения конфиденциальной информации;
10.2.4. разработка и усовершенствование локальных нормативных актов Оператора, регламентирующих процессы обработки персональных данных;
10.2.5. назначение лица, ответственного за обработку персональных данных; обучение и инструктаж, внутренний контроль за соблюдением организацией и его работниками требований к защите персональных данных.
10.2.6. утверждение мест хранения материалов, содержащих персональные данные, а также доступа к ним работников Оператора;
10.2.7. обеспечение раздельного хранения персональных данных на разных материальных носителях, обработка которых осуществляется в различных (несовместимых) целях, контроль фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
10.2.8. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
10.3. В качестве технических мер защиты персональных данных Оператором применяются: антивирусная защита, специализированные средства защиты информации от несанкционированного доступа, предоставляемые соответствующими сервисами и ПО, используемых Оператором при оказании своих услуг.
10.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
10.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.
10.6. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных, передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении лично, либо при получении запроса субъекта персональных данных или его представителя по средствам электронной почты на электронный адрес Оператора info@man159.ru.
11.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
11.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- суть запроса (требование);
- подпись субъекта персональных данных или его представителя.
11.4. Запрос также может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
11.5. Оператор рассматривает Обращение субъекта персональных данных в следующем порядке:
- Обращение регистрируется в Журнале учета Обращений субъектов персональных данных;
- Проверяется наличие всех обязательных реквизитов Обращения;
- Проверяется обоснованность Обращения;
- Предоставляется ответ на Обращение.
11.6. В зависимости от сути Обращения ответ на него должен содержать:
- запрашиваемую субъектом персональных данных информацию об обрабатываемых персональных данных;
- мотивированныйотказвпредоставлениизапрашиваемойинформации об обрабатываемых персональных данных;
- уведомление о действиях, совершаемых с персональными данными субъекта персональных данных по его Обращению.
11.7. Ответ на Обращение направляется в форме, соответствующей форме обращения субъекта персональных данных.
11.8. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.10. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу Роскомнадзора, Оператор осуществляет блокировку персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
11.11. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, либо Роскомнадзором, или иных необходимых документов уточняет персональные данные и снимает блокировку персональных данных.
11.12. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя, либо Роскомнадзора Оператор осуществляет блокировку неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.13. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
12.Изменение Политики
12.1. Оператор оставляет за собой право вносить изменения в Политику. На субъекте персональных данных лежит обязанность при каждом использовании Сайтов Оператора: https://www.man159.ru/ и https://www.sitrak159.ru/, или при ином взаимодействии с Оператором знакомиться с актуальным текстом Политики.
12.2. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в соответствующем разделе сайтов Оператора: https://www.man159.ru/ и https://www.sitrak159.ru/. Продолжение пользования Сайтом или его сервисами после публикации новой редакции Политики, а также продолжение взаимодействия с Оператором означает принятие Политики и ее условий субъектом персональных данных. В случае несогласия с условиями Политики субъект персональных данных должен незамедлительно прекратить использование Сайтов Оператора: https://www.man159.ru/ и https://www.sitrak159.ru/ и его сервисов, прекратить свое взаимодействие с Оператором.
13. Трансграничная передача персональных данных
13.1. Оператор может осуществлять трансграничную передачу персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в порядке, предусмотренном законодательством Российской Федерации.
13.2. Оператор ООО «ГРУЗОВОЙ СЕРВИС» не осуществляет трансграничную передачу персональных данных.
При необходимости начать осуществлять трансграничную передачу персональных данных Оператор должен:
- перед передачей Оператор убеждается в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных
- направить уведомление в Роскомнадзор об осуществлении им трансграничной передачи персональных данных.
13.3. Трансграничная передача персональных данных на территории иностранных государств осуществляется Оператором на основании отдельного письменного согласия субъекта персональных данных на трансграничную передачу его персональных данных.
13.4. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных, Оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.
14. Сведения об Операторе:
Наименование:
Общество с ограниченной ответственностью «ГРУЗОВОЙ СЕРВИС»,
ИНН: 7728168971,
ОГРН: 1145958043670,
Адрес: 614531, Пермский р-н, пос. Горный, Березовый переулок, д. 5
Телефон 8 (922) 300-33-22, e-mail: info@man159.ru Директор Д.А.Кайсин
Ответственный за обработку персональных данных Е.М.Булатова
Приложение 1
к Политике компании
в отношении обработки персональных данных
ООО «ГРУЗОВОЙ СЕРВИС»
Приказ № 23
Об утверждении Политики компании
в отношении обработки персональных данных
п. Горный
«12»Ноября 2024 г.
В целях выполнения требований п. 2, ч. 1, ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
ПРИКАЗЫВАЮ:
1. Утвердить Политику компании в отношении обработки персональных данных.
2. Разместить Политику компании в отношении обработки персональных данных на сайтах компании: https://www.man159.ru/ и https://www.sitrak159.ru/ и на информационных стендах в офисе организации.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Директор
Д.А.Кайсин
С приказом ознакомлены:
Менеджер по персоналу
Е.М.Булатова
Руководитель отдела сервиса
А.Д.Некрасов