Политика обработки персональных данных
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных в ООО «БПМСофт» (ИНН 7724744134, ОГРН 1107746293049) как Оператора персональных данных (далее - Оператор).
1.2. Настоящая Политика разработана и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных») и подлежит опубликованию на официальном сайте Оператора.
1.3. В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу - субъекту персональных данных. От лица субъекта персональных данных вправе действовать представитель при наличии соответствующих полномочий, которые проверяются Оператором при каждом обращении или запросе.
1.4. Оператор осуществляет обработку персональных данных способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), доступ, предоставление, использование, блокирование, удаление, уничтожение.
1.5. Оператор осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, когда иное допускается ФЗ «О персональных данных».
2. Цели обработки персональных данных
2.1. Подбор персонала (соискателей) на вакантные должности Оператора.
2.2. Обеспечение соблюдения трудового законодательства РФ.
2.3. Подготовка, заключение и исполнение гражданско-правовых договоров.
2.4. Продвижение товаров, работ, услуг на рынке.
3. Порядок и условия обработки персональных данных
3.1. Оператор обрабатывает персональные данные следующий субъектов в следующем объеме персональных данных:
3.1.1. для достижения цели, указанной в п.2.1 Политики:
· Субъект: Соискатели;
· Категории и перечень персональных данных: фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, сведения об образовании, фотография.
3.1.2. для достижения цели, указанной в п.2.2 Политики:
· Субъекты: Работники, Соискатели, Уволенные работники;
· Категории и перечень персональных данных: фамилия, имя, отчество (при наличии),год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, должность, отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о состоянии здоровья, фотография.
3.1.3. для достижения цели, указанной в п.2.3 Политики:
· Субъекты: Представители контрагентов, Выгодоприобретатели по договорам;
· Категории и перечень персональных данных: фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения, адрес электронной почты, номер телефона, гражданство, данные документа, удостоверяющего личность, должность.
3.1.4. для достижения цели, указанной в п.2.4 Политики:
· Субъекты: Представители контрагентов, Посетители сайта;
· Категории и перечень персональных данных: фамилия, имя, отчество (при наличии), адрес электронной почты, номер телефона, должность, фотография.
3.2. Для целей обработки данных Оператор может передавать персональные данные:
· работникам Оператора;
· третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению Оператора, где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных»;
· по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно.
3.3. Оператор осуществляет обработку персональных данных, исходя из следующих принципов:
3.3.1. законности целей и способов обработки персональных данных, добросовестности и справедливости деятельности Оператора;
3.3.2. обработки персональных данных, отвечающих целям их обработки;
3.3.3. соответствие содержания и объема персональных данных заявленной цели обработки без их избыточности;
3.3.4. недопустимость объединения баз данных, содержащих персональные данные, обрабатываемые для целей несовместимых между собой;
3.3.5. точность, достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных;
3.3.6. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.4. Обработка персональных данных допускается в случаях, предусмотренных ФЗ «О персональных данных», в частности:
3.4.1. с согласия субъекта персональных данных на обработку его персональных данных;
3.4.2. обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3.4.3. в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.4.4. обработка необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3.4.5. обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, с соблюдением требований, предъявляемых к содержанию договора, предусмотренных п.п.5.ч.1. ст.6 ФЗ «О персональных данных»;
3.4.6. обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
3.4.7. обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.4.8. в статистических или иных исследовательских целях, при этом обработка допускается только с предварительного согласия субъекта персональных данных и при условии обязательного обезличивания персональных данных;
3.4.9. в иных случаях, предусмотренных законодательством Российской Федерации.
3.5. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований предусмотренных в пп. 3.4.2.-3.4.9. Политики, а также предусмотренных п. 3 ст. 86 Трудового кодекса Российской Федерации.
3.6. Оператор вправе поручить обработку персональных данных другому юридическому лицу с согласия субъекта персональных данных в письменной форме на основании заключаемого с этим лицом договора, который обязан соответствовать требованиям, указанным в ч.3. ст. 6 ФЗ «О персональных данных».
3.7. Согласие на обработку персональных данных:
3.7.1. Субъект персональных данных дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным в любой форме, позволяющей подтвердить факт его получения Оператором. При получении такого согласия от представителя субъекта персональных данных полномочия такого представителя на дачу согласия проверяются Оператором.
3.7.2. Согласие на обработку персональных данных может быть в любое время отозвано субъектом персональных данных, при этом Оператор вправе продолжить обработку персональных данных без согласия субъекта только при наличии оснований, предусмотренных п. 3.4.2. - 3.4.9. Политики и/или по иным основаниям, предусмотренным законодательством РФ. В иных случаях обработка таких персональных данных должна быть прекращена Оператором.
3.7.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
3.7.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают его наследники, если оно не было получено ранее при его жизни.
3.8. Оператор осуществляет обработку специальных персональных данных о состоянии здоровья работников, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) в пределах, определенных трудовым законодательством РФ для указанной цели.
3.9. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни и биометрических персональных данных.
3.10. Обработка фотографий в рамках достижения целей, указанных в п. 2.1, 2.2. и 2.4. Политик, не является обработкой биометрических персональных данных в значении ч. 1 ст. 11 Федерального закона «О персональных данных».
3.11. Оператор осуществляет трансграничную передачу персональных данных. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных, а также выполнить иные требования, установленные действующим законодательством.
3.12. Оператор осуществляет смешанную, неавтоматизированную и автоматизированную обработку персональных данных.
3.13. Срок или условие прекращения обработки персональных данных Оператором:
· достигнуты цели обработки или утрачена необходимость в их достижении;
· получен отзыв согласия субъекта персональных данных на обработку персональных данных;
· представление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональных данных являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
· выявление неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных;
· требование субъекта персональных данных в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленной цели;
· истечение срока хранения персональных данных, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
· прекращение деятельности Оператора.
3.14. Оператор записывает cookies на устройство Посетителей сайта, которое Посетитель использует для реализации своих потребностей на сайте. Cookies – это небольшие фрагменты данных, отправленные веб-сервером и хранимые на электронном устройстве Посетителя сайта. Они используются для упрощения пользовательского опыта посещения сайтом и для сбора аналитики Оператором для улучшения качества предоставляемых продуктов/услуг на сайте. Посетитель сайта настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации работы сайта Оператора. Посетитель может отказаться от использования сookies в настройках своего браузера (ознакомиться с данной возможностью можно в разделе «Справка» соответствующего браузера). В таком случае сайт будет использовать только те сookies, которые строго необходимы для его функционирования и предлагаемых им сервисов, однако такой отказ может привести к некорректной работе сайта.
3.15. Оператор может собирать техническую информацию, когда Посетитель посещает сайт. Перечень технической информации: IP-адрес, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому Посетитель проходит через веб-сайт, время доступа, и другая. Оператор использует указанную информацию для обеспечения работоспособности своего сайта, для повышения качества продвижения своих продуктов/услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом Общество не преследует цели идентифицировать конкретного пользователя веб-сайта Оператора.
3.16. На сайте Оператора реализован сервис веб-аналитики «Яндекс.Метрика», который использует сookies. Информация об использовании сайта Посетителем, собранная при помощи сookies, подлежит передаче ООО «Яндекс» (ОГРН: 1027700229193, зарегистрированное по адресу: 119021, Россия, Москва, ул. Льва Толстого, д. 16) и хранится на серверах Яндекса, расположенных в Российской Федерации. Яндекс обрабатывает полученную информацию для оценки использования сайта Посетителем и составления отчетов о деятельности сайта.
4. Обеспечение безопасности персональных данных
4.1. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 18.1. и 19 Федерального закона от 27.07.2006 №152- ФЗ «О персональных данных».
4.2. Обеспечение безопасности персональных данных достигается в частности:
· определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· определение требуемых уровней защищенности персональных данных, обрабатываемых в информационной системе персональных данных и соблюдение требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
· посредством прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационный системы персональных данных;
· разграничение прав доступа сотрудников к базе персональных данных информационный системы персональных данных;
· охрана помещений Оператора, ограниченный доступ в помещения, где расположены базы персональных данных;
· обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по исключению в дальнейшем такого доступа;
· восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установлением права доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
· контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности системы персональных данных.
· назначением лица, ответственного за организацию обработки персональных данных у Оператора.
4.3. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в соответствии с законодательством Российской Федерации.
4.4. Общество имеет право в одностороннем порядке изменять содержание настоящей Политики. Общество имеет право вносить изменения по своему усмотрению, в том числе, но не ограничиваясь, в случаях, когда соответствующие изменения связаны с изменениями в применимом законодательстве, а также когда соответствующие изменения связаны с изменениями в работе сайта Общества. Новая редакция Политики вступает в силу с момента её размещения на соответствующих страницах сайта Общества, если иное не предусмотрено новой редакцией.
5. Обеспечение прав субъекта персональных данных Оператором
5.1. Субъекты персональных данных обладают правами, предусмотренными ФЗ «О персональных данных» и другими нормативно-правовыми актами в сфере обработки персональных данных, а Оператор обеспечивает права субъектов персональных данных в порядке, предусмотренные главами 3 и 4 ФЗ «О персональных данных».
5.2. Субъект персональных данных обладает правом:
5.2.1. На доступ к своим персональным данным, который включает в себя:
· право на получение информации, касающейся обработки его персональных данных, в объеме, предусмотренном ч.7. ст.14 ФЗ «О персональных данных»;
· право на уточнение персональных данных;
· право требовать блокирования или уничтожения данных, обрабатываемых с нарушением принципов или оснований обработки, указанных в п.2.3. или 2.4. Политики соответственно;
· отозвать согласие на обработку своих персональных данных.
Право субъекта персональных данных на доступ к его персональным данным предоставляется Оператором на основании обращения или запроса в порядке, предусмотренном ст. 14 ФЗ «О персональных данных», направленного на юридический адрес Оператора или по электронной почте infosec@bpmsoft.ru.
5.2.2. Обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных» или иными образом нарушает его права и свободы.
5.2.3. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
5.3. Оператор обеспечивает право на доступ субъекта персональных данных:
5.3.1. предоставляя субъекту требуемую информацию по его запросу или обращению. Основания для отказа в предоставлении информации составляют - поступление повторного запроса, не соответствующего условиям, указанным в ч. 4 и 5 ст.14 ФЗ «О персональных данных» или наличие обстоятельств, указанных в ч.8. той же статьи. Отказ должен быть мотивирован Оператором;
5.3.2. уточняя неполные, неактуальные устаревшие данные, блокируя их на период проверки, если это не нарушает права и законные интересы субъекта;
5.3.3. при выявлении неправомерно обрабатываемых персональных данных осуществляя блокирование на период проверки, а затем, если обеспечить правомерность не представляется возможным -производя уничтожение;
5.3.4. уничтожая незаконно полученные или несоответствующие заявленным целям обработки персональные данные;
5.3.5. прекращая обработку персональных данных при достижении заявленных целей обработки, и уничтожая их;
5.3.6. предоставляя информацию по обращениям, запросам, требованиям субъекта персональных данных и, при их соответствии требованиям законодательства РФ, исполняя указанные в них требования. Оператор уведомляет субъекта персональных данных о выполнении своих обязательств. Сроки осуществления Оператором обязательств, указанных в п.4.3. Политики, определяются ФЗ «О персональных данных» или соглашением с субъектом персональных данных.
5.4. В обязанности Оператора входит:
5.4.1. При отказе субъекта в предоставлении персональных данных разъяснить субъекту персональных данных юридические последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с ФЗ «О персональных данных»;
5.4.2. Назначить лицо, ответственное за организацию обработки персональных данных, которое обязано:
· осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
· доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
· организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. Указанное лицо непосредственно получает указания от Генерального директора и подотчетно ему.
5.4.3. Принимать локальные нормативные акты, определяющие в отношении каждой цели обработки персональных данных, отдельные категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований, а также локальные нормативно-правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранения последствий таких нарушений.
5.4.4. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации, политике Оператора в отношении обработки персональных данных, локальным актам оператора.
5.5. Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации.
5.6. Производить ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, или обучение указанных работников.
5.7. Поддерживать актуальность сведений уведомления, направленного уполномоченному органу по защите прав субъектов персональных данных в предусмотренных ст.22 ФЗ «О персональных данных» случаях.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.