Политика в отношении обработки персональных данных и конфиденциальной информации в ООО «ПО «ДАКОНД»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), требованиями Федерального закона 29.07.2004 № 98-ФЗ «О коммерческой тайне» (далее — 98-ФЗ) и Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — 149-ФЗ) и иных нормативных правовых актов Российской Федерации и определяет порядок обработки и защиты персональных данных (далее — ПДн) в ООО «ПО «ДАКОНД» (далее — Оператор).

1.2. В Политике используются термины и определения в соответствии с их значениями, как они определены в 152-ФЗ, 98-ФЗ, 149-ФЗ. Оператор обрабатывает персональные данные с учетом требований 152-ФЗ, его подзаконных актов и нормативно-методических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных. Оператор обрабатывает данные представляющие конфиденциальную информацию с учетом требований 98-ФЗ, 149-ФЗ.

1.3. Сведения об Операторе:

Полное наименование: ООО «ПО «ДАКОНД»

Юридический адрес: 109052, г. Москва, вн. тер. г. муниципальный округ Нижегородский, пр-кт Рязанский, д. 3Б, помещ. 23/4

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Конфиденциальная информация — документированные сведения (сообщения, данные) любого характера, независимо от формы их представления, доступ к которым ограничен в соответствии с законодательством Российской Федерации и которые имеют действительную или потенциальную коммерческую, служебную или иную ценность в силу неизвестности их третьим лицам.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Заключение трудовых отношений с физическими лицами, подбор персонала.

3.2. Заключение, продление договорных отношений ООО «ПО «Даконд».

3.3. Идентификация сторон договоров, соглашений, сделок Оператора.

3.4. Выполнение договорных обязательств Оператора, включая оказание услуг, выполнение работ, поставку товаров, исполнение гарантийных обязательств.

3.5. Использование веб-ресурсов юридическими и физическими лицами в соответствии с правилами пользования.

3.6. Регистрация, идентификация и персонализация пользователей сайтов, приложений и иных информационных ресурсов Оператора; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, улучшение программных продуктов, повышение качества оказываемых услуг и выполняемых работ Оператором.

3.7. Осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, в том числе сообщений маркетингового характера, а также иные действия для продвижения продуктов, товаров, работ и услуг Оператора.

3.8. Осуществление деятельности удостоверяющего центра в соответствии с законодательством Российской Федерации об электронной подписи.

3.9. Осуществление деятельности оператора фискальных данных в соответствии с законодательством Российской Федерации о фискальных данных.

3.10. Осуществление деятельности операторов электронного документооборота в соответствии с законодательством Российской Федерации, нормативными документами государственных органов Российской Федерации.

3.11. Участие физических лиц и юридических лиц в бонусных программах, программах лояльности Оператора.

3.12. Защита законных интересов Оператора, их партнеров и клиентов; противодействие незаконным или несанкционированным действиям, мошенничеству, обеспечение информационной безопасности.

3.13. Организация пропускного режима на территории зданий и офисов Оператора, обеспечение сохранности имущества и безопасности персонала и посетителей.

3.14. Организация конференций, семинаров, вебинаров, обучающих курсов, круглых столов иных публичных мероприятий в интересах Оператора, партнерских организаций, профессиональных сообществ.

3.15. Прохождение физическими лицами стажировок, практик на территории Оператора, обучения в партнерских программах с участием Оператора.

3.16. Предоставление социального пакета, материальной помощи, компенсаций и льгот работникам Оператора.

3.17. Проведение исследований по тематике деятельности Оператора, расширения производства, использования товаров, работ и услуг Оператора, расширения спектра оказываемых услуг, выполняемых работ, производимых и поставляемых товаров, контроля качества.

3.18. Сбор, обработка аналитических и статистических данных по тематике деятельности Оператора, использования информационных ресурсов, программных продуктов, товаров, работ и услуг Оператора.

3.19. Соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

3.20. Соблюдение иного применимого к деятельности Оператора законодательства, в том числе международного

4. КАТЕГОРИИ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Категории обрабатываемых персональных данных определяются в соответствии с целями обработки:

• Данные пользователей веб-ресурсов (п. 3.5, 3.6, 3.7, 3.12, 3.17, 3.18, 3.20):
  
  • Регистрационные данные, в случае предоставления согласия на обработку ПДн
  • Персональные настройки браузера посетителя веб-ресурсов Оператора
  • История взаимодействия с веб-ресурсами Оператора
  • Данные об использовании сервисов Оператора
  • Контактные данные для информирования, в случае предоставления согласия на обработку ПДн
  • Данные для маркетинговых коммуникаций, в случае предоставления согласия на обработку ПДн
  • Информация о безопасности и защите данных в объеме, необходимом для обеспечения безопасной работы веб-ресурсов и сервисов Оператора
  • Статистические данные
  • Данные о соблюдении законодательства при использовании веб-ресурсов и сервисов Оператора
• Данные участников программ лояльности (п. 3.11):
  
  • Идентификационные данные
  • Данные об участии в программах
  • История взаимодействий
  • Бонусный статус
• Данные участников мероприятий (п. 3.14, 3.15):
  
  • Регистрационные сведения
  • Контактная информация
  • Данные об участии
  • Материалы обучения
  • Результаты участия
• Данные соискателей (п. 3.1):
  
  • Базовые персональные данные
  • Контактные данные
  • Профессиональная информация
  • Образовательные данные
• Данные клиентов и контрагентов (п. 3.2, 3.3, 3.4, 3.6, 3.7, 3.11, 3.12, 3.14, 3.15, 3.17, 3.18, 3.20):
  
  • Контактные данные в объеме, необходимом для проведения договорных отношений
  • Идентификационные данные
  • Контактные данные
  • Данные о взаимодействии
  • История договорных отношений
  • Финансовая информация
  • Данные об использовании веб-ресурсов и сервисов Оператора
  • Информация о маркетинговых коммуникациях
  • Данные об участии в программах лояльности Оператора
  • Информация о безопасности
  • Данные об участии в мероприятиях Оператора
  • Статистические показатели
  • Аналитические данные
  • Информация о соблюдении законодательства
• Данные сотрудников (п. 3.1, 3.8, 3.9, 3.13, 3.14, 3.15, 3.16, 3.19, 3.20):
  
  • Персональные идентификационные данные
  • Контактные данные
  • Квалификационные данные
  • Данные о трудовой деятельности
  • Финансовая информация
  • Данные о социальном обеспечении
  • Данные для осуществления деятельности удостоверяющего центра
  • Данные для осуществления деятельности оператора фискальных данных
  • Данные об организации пропускного режима
  • Данные об участии в мероприятиях
  • Данные о предоставлении социального пакета
  • Информация о соблюдении законодательства
• Данные для исследований (п. 3.17, 3.18):
  
  • Агрегированные данные
  • Статистическая информация
  • Аналитические материалы
  • Данные об использовании продуктов
• Данные для обеспечения безопасности (п. 3.5, 3.6, 3.12, 3.13):
  
  • Данные систем видеонаблюдения
  • Данные пропускного режима
  • Информация о нарушениях
  • Данные об использовании веб-ресурсов
  • Данные о регистрации и идентификации пользователей
  • Информация о безопасности веб-ресурсов

4.2. Способы обработки персональных данных

Автоматизированная обработка осуществляется с использованием современных информационных систем корпоративного уровня:

• Корпоративные информационные системы:
  
  • Комплексные решения для ведения кадрового и бухгалтерского учета
  • Системы управления взаимоотношениями с клиентами
  • Платформы для организации документооборота
  • Инструменты для проектного управления
• Средства коммуникации:
  
  • Корпоративные системы электронной почты
  • Платформы для организации делового общения
  • Инструменты для совместной работы

Неавтоматизированная обработка включает:

• Ведение документации на бумажных носителях
• Архивное хранение в соответствии с установленными законодательством сроками
• Регистрационно-учетную деятельность, включающую:
  
  • Ведение журналов регистрации документов
  • Учет входящей и исходящей документации
  • Контроль исполнения документов
  • Формирование дел согласно номенклатуре
  • Оформление первичных документов
  • Систематизацию и каталогизацию архивных материалов

Смешанная обработка реализуется через:

• Интеграцию различных информационных систем
• Обмен данными между автоматизированными и неавтоматизированными системами
• Формирование отчетности (аналитические сводки, финансовые документы, кадровые отчеты, отчетность для контролирующих органов и т.п.)
• Документооборот между различными платформами

Технические меры защиты при обработке персональных данных включают:

• Шифрование данных при передаче и хранении
• Многоуровневую систему защиты информации
• Резервное копирование данных в распределенных центрах обработки
• Проактивную защиту от несанкционированного доступа
• Автоматическую реакцию на инциденты безопасности
• Контроль целостности информационных систем

Организационные меры защиты:

• Двухфакторная аутентификация пользователей
• Разграничение прав доступа к информации
• Автоматическое журналирование действий пользователей
• Аудит соответствия требованиям законодательства
• Контроль соблюдения правил информационной безопасности

Контроль доступа осуществляется посредством:

• Системы разграничения прав пользователей
• Многофакторной аутентификации
• Автоматического протоколирования действий пользователей
• Регулярного аудита безопасности

Архивное хранение осуществляется:

• В соответствии с установленными законодательством сроками хранения
• С соблюдением требований к условиям хранения
• С обеспечением конфиденциальности хранимых данных
• С организацией надлежащего учета архивных документов
• С регулярным контролем состояния архивных материалов

4.3. Объём обрабатываемых данных определяется необходимостью достижения целей обработки и не включает избыточную информацию.

5. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В дополнение к мерам, описанным в разделе 4.2, Оператор обеспечивает комплексную систему защиты персональных данных, включающую:

• Правовую защиту:
  
  • Разработка и актуализация внутренних нормативных документов
  • Контроль соблюдения законодательства в сфере обработки ПДн
  • Мониторинг изменений нормативно-правовой базы
• Организационную защиту:
  
  • Назначение ответственных лиц за обработку и защиту ПДн
  • Проведение регулярных инструктажей персонала
  • Организация внутреннего контроля
  • Документирование всех процессов обработки ПДн
• Кадровый контроль:
  
  • Проверка персонала при приеме на работу
  • Регламентация доступа к ПДн
  • Учет действий пользователей
  • Контроль соблюдения правил информационной безопасности

5.2. Дополнительные меры защиты включают:

• Оценка рисков:
  
  • Регулярный анализ угроз безопасности
  • Выявление уязвимостей в системе защиты
  • Разработка превентивных мер
• Технический контроль:
  
  • Мониторинг информационных систем
  • Обнаружение несанкционированного доступа
  • Реагирование на инциденты безопасности
  • Восстановление данных при сбоях
• Документационное обеспечение:
  
  • Ведение журналов учета
  • Регистрация действий с ПДн
  • Формирование отчетности
  • Хранение документации

5.3. Контроль эффективности мер защиты осуществляется путем:

• Регулярного аудита
• Проверки соответствия требованиям законодательства
• Оценки результативности применяемых мер
• Корректировки системы защиты при необходимости

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъекты персональных данных имеют право:

• На доступ к своим персональным данным
• На уточнение (обновление, изменение) своих персональных данных
• На блокирование своих персональных данных
• На уничтожение (удаление) своих персональных данных
• На обжалование действий Оператора

6.2. Порядок направления обращений:

Обращения по вопросам обработки персональных данных принимаются в установленном законодательством порядке посредством направления Субъектом персональных данных или его законным представителем электронного письма на адрес: email адрес

6.3. Требования к оформлению обращений:

Для рассмотрения обращения в установленные законодательством сроки необходимо:

• Чётко сформулировать суть обращения
• Предоставить документы, подтверждающие личность в соответствии с требованиями законодательства
• Соблюдать форму обращения, предусмотренную нормативными актами
• По возможности приложить документы, которые могут помочь в рассмотрении ситуации (при наличии)

Примечание: обращения, не соответствующие установленным требованиям, могут быть не рассмотрены

7. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Основания для уничтожения персональных данных:

• Достижение целей обработки персональных данных
• Отзыв субъектом согласия на обработку персональных данных
• Выявление неправомерной обработки персональных данных

7.2. Порядок уничтожения персональных данных:

• Уничтожение производится способами, исключающими возможность восстановления данных
• Ответственные лица назначаются приказом оператора
• Все действия документируются в установленном порядке
• Процедуры уничтожения соблюдаются в соответствии с требованиями законодательства РФ
• Хранение данных может быть продолжено в случаях, предусмотренных законодательством (трудовое, налоговое, архивное законодательство)
• При необходимости защиты прав до истечения срока исковой давности

7.3. Информирование субъектов персональных данных:

При необходимости субъект информируется об уничтожении его персональных данных

8. КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ

8.1. Общие положения

8.1.1. Настоящая политика определяет порядок обеспечения конфиденциальности информации, не являющейся общедоступной.

8.1.2. Конфиденциальность информации обеспечивается путем системы правовых, организационных и технических мер, направленных на защиту информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

8.2. Категории конфиденциальной информации

8.2.1. К конфиденциальной информации относятся:

• Служебная информация
• Коммерческая тайна
• Технологическая информация
• Финансовая информация
• Договорная информация
• Маркетинговая информация

8.3. Порядок обращения с конфиденциальной информацией

8.3.1. Доступ к конфиденциальной информации предоставляется только уполномоченным сотрудникам.

8.3.2. Передача конфиденциальной информации третьим лицам осуществляется только при наличии:

• Письменного согласия субъекта
• Юридических оснований
• Договоров о конфиденциальности

8.4. Меры по обеспечению конфиденциальности

8.4.1. Организационные меры:

• Назначение ответственных лиц
• Разработка внутренних регламентов
• Проведение инструктажей
• Контроль доступа

8.4.2. Технические меры защиты при работе с конфиденциальной информацией включают:

• Шифрование данных при передаче и хранении
• Многоуровневую систему защиты информации
• Резервное копирование данных в распределенных центрах обработки
• Проактивную защиту от несанкционированного доступа
• Автоматическую реакцию на инциденты безопасности
• Контроль целостности информационных систем

8.4.3. Организационные меры защиты:

• Двухфакторная аутентификация пользователей
• Разграничение прав доступа к информации
• Автоматическое журналирование действий пользователей
• Аудит соответствия требованиям законодательства
• Контроль соблюдения правил информационной безопасности

8.4.4. Контроль доступа осуществляется посредством:

• Системы разграничения прав пользователей
• Многофакторной аутентификации
• Автоматического протоколирования действий пользователей
• Регулярного аудита безопасности

8.5. Ответственность за нарушение конфиденциальности

8.5.1. Лица, получившие доступ к конфиденциальной информации, обязаны:

• Не разглашать информацию третьим лицам
• Соблюдать установленные требования безопасности
• Немедленно сообщать о попытках несанкционированного доступа

8.5.2. За нарушение требований конфиденциальности предусмотрена:

• Дисциплинарная ответственность
• Материальная ответственность
• Административная ответственность
• Уголовная ответственность

8.6. Порядок хранения и уничтожения

8.6.1. Конфиденциальная информация хранится в условиях, исключающих несанкционированный доступ.

8.6.2. Уничтожение конфиденциальной информации производится способами, исключающими возможность восстановления данных.

8.7. Контроль соблюдения требований

8.7.1. Регулярный аудит соблюдения требований конфиденциальности

8.7.2. Мониторинг инцидентов безопасности

8.7.3. Оценка эффективности принимаемых мер защиты

8.8. Заключительные положения

8.8.1. Изменения в настоящем разделе вносятся приказом генерального директора.

8.8.2. Контроль исполнения положений раздела возлагается на ответственного за защиту информации.

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Оператор несёт ответственность за:

• Соблюдение требований законодательства Российской Федерации в области обработки персональных данных
• Защиту прав и законных интересов субъектов персональных данных
• Предотвращение несанкционированного доступа к персональным данным
• Обеспечение конфиденциальности обрабатываемых персональных данных
• Выполнение обязательств по надлежащей обработке персональных данных

9.2. Ответственность Оператора определяется в соответствии с действующим законодательством Российской Федерации.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящая Политика вступает в силу с момента её размещения на официальном сайте Оператора и действует до момента замены её новой редакцией.

10.2. Изменения и дополнения к настоящей Политике вступают в силу в порядке, установленном для самой Политики.

10.3. Все споры и разногласия, возникающие в связи с применением настоящей Политики, разрешаются в порядке, установленном действующим законодательством РФ.

10.4. При признании отдельных положений Политики недействительными или не имеющими юридической силы остальные положения сохраняют свою силу.

10.5. Вопросы, не урегулированные настоящей Политикой, регулируются в соответствии с действующим законодательством Российской Федерации в области персональных данных.