Политика в отношении обработки персональных данных в ООО «Матрица»
1. Общие положения
1.1 Политика в отношении обработки персональных данных в ООО «Матрица» (далее — Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО «Матрица» (далее — Оператор).
1.2 Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152‑ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.3 Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.
1.4 В Политике используются следующие основные понятия:
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.5 Политика вступает в силу с момента её утверждения и действует бессрочно до замены её новой политикой.
2. Сведения об операторе
2.1 Оператор ведёт свою деятельность по адресу: г. Москва, Вн.Тер.Г. Муниципальный округ Мещанский, Пер. Банный, д. 2, стр. 1, этаж/помещ. 1/1А, ком./офис 3/3.
2.2 Приказом генерального директора в ООО «Матрица» ответственным за организацию обработки персональных данных назначен генеральный директор — Конурин Д.Г.
3. Принципы обработки персональных данных
3.1 Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
3.2 Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определённых и законных целей. Оператором не обрабатываются персональные данные, несовместимые с целями сбора персональных данных.
3.3 Оператор не объединяет базы данных, содержащие персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5 Содержание и объём обрабатываемых персональных данных соответствуют заявленным Оператором целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
3.6 При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.7 Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.8 Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом.
3.9 Политика вступает в силу с момента её утверждения и действует бессрочно до замены её новой политикой.
4. Сведения об обработке персональных данных
4.1 Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
4.2 Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
5. Правовые основания обработки персональных данных
5.1 Оператор обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:
- ст. 23–24 Конституции РФ;
- ст. 86–90 Трудового кодекса РФ;
- Гражданский кодекс РФ;
- Налоговый кодекс РФ;
- ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 06.12.2011 г. № 402‑ФЗ;
- ст. 6 ФЗ «О персональных данных»;
- Устав ООО «Матрица»;
- Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
6. Субъекты, категории, цели и основания обработки персональных данных
6.1 Субъекты, цели и основания обработки персональных данных указаны в таблице 1.
Таблица 1. Субъекты, цели и основания обработки
| № | Субъекты | Цели обработки | Основания |
|---|---|---|---|
| 1 | Работники | Обеспечение соблюдения трудового законодательства РФ; ведение кадрового и бухгалтерского учёта; обеспечение соблюдения налогового законодательства РФ; обеспечение соблюдения пенсионного законодательства РФ | Трудовой кодекс РФ; письменное согласие субъекта на обработку его персональных данных |
| 2 | Родственники работников | Ведение кадрового и бухгалтерского учёта | Ст. 228 ТК РФ; ст. 218 НК РФ; п. 2 ч. 1 ст. 6 ФЗ «О персональных данных» |
| 3 | Уволенные работники | Ведение кадрового и бухгалтерского учёта; обеспечение соблюдения налогового законодательства РФ; обеспечение соблюдения пенсионного законодательства РФ | П. 5 ч. 3 ст. 24 части первой НК РФ от 31 июля 1998 г. № 146‑ФЗ; ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» от 6 декабря 2011 г. № 402‑ФЗ |
| 4 | Представители контрагентов | Выполнение договорных обязательств | Ст. 420, 432 ГК РФ; п. 2 ч. 1 ст. 6 ФЗ № 152 «О персональных данных» |
| 5 | Работники контрагентов | Выполнение договорных обязательств | Ст. 420, 432 ГК РФ; п. 2 ч. 1 ст. 6 ФЗ № 152 «О персональных данных» |
| 6 | Соискатели | Принятие решения о приёме либо отказе в приёме на работу кандидата на вакантную должность | п. 5 ч. 1 ст. 6 ФЗ «О персональных данных» |
| 7 | Физические лица, работающие по договору ГПХ | Подготовка, заключение и исполнение гражданско-правового договора | п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»; Ст. 420, 432, 702 ГК РФ |
| 8 | Индивидуальные предприниматели | Выполнение договорных обязательств | п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»; п. 2 ст. 158, ст. 420, 432 ГК РФ |
| 9 | Самозанятые | Выполнение договорных обязательств | п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»; Ст. 420, 432 ГК РФ |
| 10 | Посетители сайта | Выполнение договорных обязательств | п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»; Ст. 420, 432 ГК РФ |
6.2 Оператор осуществляет обработку персональных данных, перечень которых утверждается приказом генерального директора.
6.3 В таблице 2 приведены данные, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований в соответствии с требованием п. 2 ч. 1 ст. 18.1 ФЗ 152 «О персональных данных».
Таблица 2. Цели, способы, сроки обработки и порядок уничтожения
| № | Цель обработки | Категория субъектов | Способы обработки | Сроки обработки и хранения | Порядок уничтожения |
|---|---|---|---|---|---|
| 1 | Обеспечение соблюдения трудового законодательства РФ | Работники; Уволенные работники; Родственники работников | Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет | До момента отзыва согласия, или по завершении сроков хранения, или до достижения цели обработки | Подлежат уничтожению, удалению при отзыве согласия; по завершении сроков хранения; по достижении цели обработки |
| 2 | Ведение кадрового и бухгалтерского учёта | Работники; Уволенные работники; Родственники работников | Смешанная; с передачей по внутренней сети; с передачей по сети Интернет | Аналогично п. 1 | Аналогично п. 1 |
| 3 | Обеспечение соблюдения налогового законодательства РФ | Работники; Уволенные работники; Родственники работников | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 4 | Обеспечение соблюдения пенсионного законодательства РФ | Работники; Уволенные работники; Родственники работников | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 5 | Подбор персонала (соискателей) на вакантные должности оператора | Соискатели | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 6 | Подготовка, заключение и исполнение ГПД | Физические лица, работающие по договору ГПХ | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 7 | Выполнение договорных обязательств | Представители контрагентов; Клиенты; Работники контрагентов; ИП; Самозанятые | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 8 | Добровольное медицинское страхование | Работники | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 9 | Обработка заявок с сайта | Посетители сайта | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
| 10 | Оценка посещаемости и анализ поведения пользователей сайта | Посетители сайта | Смешанная | Аналогично п. 1 | Аналогично п. 1 |
7. Описание обработки персональных данных
7.1 Оператор не принимает решения, затрагивающие интересы субъектов персональных данных, основываясь на их персональных данных, полученных исключительно в результате автоматизированной обработки.
7.2 Оператор разрешает доступ к персональным данным субъектов только тем лицам, которым он необходим для выполнения их служебных обязанностей. Перечень работников, допущенных к обработке персональных данных, утверждается приказом генерального директора ООО «Матрица».
7.3 Персональные данные субъектов обрабатываются с использованием и без использования средств автоматизации.
7.4 Оператор не сообщает третьей стороне персональные данные субъектов без их согласия.
7.5 Персональные данные субъектов персональных данных хранятся по адресу, указанному в п. 2.1 Политики.
7.6 Обработка персональных данных работников
7.6.1 Оператор обрабатывает персональные данные работников Оператора в рамках правоотношений, урегулированных Трудовым Кодексом РФ от 30 декабря 2001 г. № 197‑ФЗ (далее — ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.
7.6.2–7.6.5 Оператор знакомит работников с документами, получает данные у них самих, обрабатывает в течение срока действия трудового договора.
7.6.6–7.6.11 Оператор может обрабатывать специальные категории (сведения о здоровье), не обрабатывает биометрические данные, не получает данные о членстве в общественных объединениях, может передавать данные в АО «АЛЬФА-БАНК» (ИНН 7728168971) и АО КБ «МОДУЛЬБАНК» (ИНН 2204000595) для перечисления заработной платы, а также в ООО «1‑Рарус Интеграционные проекты» (ИНН 7717154350) для обмена информацией.
7.7 Обработка персональных данных уволенных работников
Персональные данные уволенных работников хранятся в соответствии с НК РФ, ФЗ «О бухгалтерском учёте» и Приказом Росархива.
7.8 Обработка персональных данных родственников работников
Персональные данные родственников работников обрабатываются в течение срока действия трудового договора, на основании ТК РФ и НК РФ.
7.9 Обработка персональных данных соискателей
Персональные данные соискателей хранятся не более 1 года после отказа; данные из hh.ru и других систем обрабатываются в соответствии с ч. 8 ст. 9 ФЗ «О персональных данных».
7.10 Обработка данных представителей и работников контрагентов
Персональные данные представителей и работников контрагентов хранятся в соответствии с Приказом Росархива; согласия субъектов не требуются.
7.11 Обработка данных ИП и самозанятых
Обработка персональных данных индивидуальных предпринимателей и самозанятых осуществляется аналогично; согласия не требуются.
7.12 Обработка персональных данных пользователей сайта Оператора
7.12.1 Оператор ведёт сбор данных пользователей через формы обратной связи.
7.12.2 Оператор использует Яндекс Метрику (сервер ООО «ЯНДЕКС», 119021, Москва, ул. Льва Толстого, д. 16).
7.12.3 Оператор использует файлы‑cookie: необходимые (для функционирования) и статистические (для анализа).
7.12.4 Пользователи дают согласие через чекбокс в форме обратной связи.
7.12.5 Данные пользователей хранятся на серверах ООО «Интернет-Хостинг» (ИНН 7701838266), адрес: 127018, Москва, проезд Марьиной Рощи 3‑й, 40/стр 1, эт 6/пом II/ком 39.
7.13 Обработка данных физических лиц, работающих по договору ГПХ
Персональные данные физических лиц, работающих по договору ГПХ, хранятся в соответствии с Приказом Росархива; согласия не требуются.
8. Условия обработки персональных данных
8.1 Оператор не раскрывает данные третьей стороне без согласия субъекта, за исключением случаев предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами (ПФР, военный комиссариат, налоговая инспекция, ФСС и др.).
8.2 По мотивированному запросу персональные данные могут быть переданы:
- в судебные органы;
- в органы ФСБ;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации.
8.3 Оператор прекращает обработку в следующих случаях:
- достижение целей обработки или максимальных сроков хранения — в течение 30 дней;
- утрата необходимости — в течение 30 дней;
- предоставление субъектом сведений о незаконном получении — в течение 7 дней;
- невозможность обеспечения правомерности обработки — в течение 10 дней;
- отзыв согласия — в течение 30 дней;
- истечение сроков исковой давности.
9. Меры обеспечения безопасности персональных данных
9.1 Безопасность обеспечивается реализацией правовых, организационных и технических мер.
9.2 Оператор предпринимает меры для обеспечения безопасности от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа.
9.3 Оператор предпринимает следующие организационно-технические меры:
- назначение должностных лиц, ответственных за организацию обработки и защиту;
- издание локальных актов;
- осуществление внутреннего контроля и аудита;
- оценка вреда субъектам в случае нарушения ФЗ;
- ознакомление работников с законодательством;
- определение угроз безопасности;
- применение организационных и технических мер;
- применение прошедших оценку соответствия средств защиты;
- оценка эффективности мер;
- учёт машинных носителей;
- обнаружение несанкционированного доступа;
- восстановление данных;
- установление правил доступа;
- контроль за мерами обеспечения безопасности.
10. Права субъектов персональных данных
10.1 Субъект имеет право на получение информации, в том числе:
- подтверждение факта обработки;
- правовые основания и цели обработки;
- цели и применяемые способы обработки;
- наименование и место нахождения Оператора, сведения о лицах, имеющих доступ;
- обрабатываемые данные, относящиеся к субъекту;
- сроки обработки, в том числе сроки хранения;
- порядок осуществления прав;
- информацию о трансграничной передаче данных;
- наименование или ФИО и адрес лица, осуществляющего обработку по поручению;
- иные сведения, предусмотренные ФЗ.
10.2 Субъект вправе требовать уточнения, блокирования или уничтожения данных.
10.3 Субъект вправе обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.
10.4 Субъект имеет право на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда.
10.5 Субъекты могут обратиться к Оператору лично или через представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
11. Заключительные положения
11.1 Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных в ООО «Матрица».
11.2 Иные права и обязанности Оператора определяются ФЗ «О персональных данных» и иными нормативными правовыми актами.
11.3 Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в порядке, установленном федеральными законами.