Положение

об обработке и защите персональных данных

ООО «ВБ Фиксмаркет»

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных разработано для обеспечения сохранности и конфиденциальности персональных данных в ООО «ВБ Фиксмаркет» (далее – Общество): 129515 г. Москва, вн. тер. г.Муниципальный округ Останкинский, ул. Академика Королева, д. 13, стр. 1, пом. 25/38, ком. 26А, офис 3.
1.2. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, а также иными нормативно-правовыми актами, регулирующими правоотношения в сфере обработки персональных данных.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками Общества.

2. Термины и определения

2.1. Общество – ООО «ВБ Фиксмаркет».
2.2. Субъект персональных данных –лицо, которому принадлежат персональные данные.
2.3. Персональные данные -любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.6. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обрабатывая персональные данные Общество является оператором, если иное прямо не предусмотрено Политикой.

3. Цели обработки персональных данных.

Категории и перечень обрабатываемых

персональных данных

3.1. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
3.2. Цели обработки персональных данных:
3.2.1. заключение и исполнение трудовых договоров;
3.2.2. заключение договоров на оказание услуг с физическими лицами;
3.2.3. ведение предпринимательской деятельности.

3.3. Для достижения цели, указанной в п. 3.2.1, Общество обрабатывает следующие персональные данные в отношении следующей категории субъектов
3.3.1 работники:
фамилия, имя, отчество (при наличии); пол; возраст; год, месяц, дата рождения; место рождения; гражданство; сведения об образовании, включая научные степени и знания, о повышении квалификации; адрес фактического проживания; адрес регистрации по месту жительства, семейное положение, наличие детей; паспортные данные или данные иного документа, удостоверяющего личность; сведения о воинском учете; страховой номер индивидуального лицевого счета (СНИЛС); идентификационный номер налогоплательщика (ИНН); сведения о социальных льготах; контактная информация (мобильный/абонентский номер телефона, адрес личной электронной почты); сведения о финансах (банковские реквизиты, номер карты); специальность; занимаемая должность; содержание трудового договора; подлинники и копии приказов по личному составу; сведение о трудовом стаже; личные дела, трудовые книжки и сведения о трудовой деятельности; основания к приказам по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; копии отчетов, направляемых в органы статистики; сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей.
3.3.1/1. Ближайшие родственники работников - фамилия, имя, отчество, степень родства, дата рождения данные документа, содержащиеся в свидетельстве о рождении.
Документами, содержащими персональные данные работников, являются:
- комплексы документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- копии отчетов, направляемых в государственные контролирующие органы.
Срок обработки и хранения персональных данных – в течение срока действия трудового договора.

3.3.2. бывшие работники:
фамилия, имя, отчество (при наличии); пол, возраст, дата и место рождения; личные дела.
Хранение персональных данных осуществляется в сроки, согласно требованиям действующего законодательства Российской Федерации.

3.4. Для достижения цели, указанной в п. 3.2.2, Общество обрабатывает следующие персональные данные в отношении следующей категории субъектов – физические лица:
фамилия, имя, отчество (при наличии); пол, возраст, дата и место рождения; гражданство; паспортные данные; адрес фактического проживания; адрес регистрации по месту жительства; идентификационный номер налогоплательщика (ИНН); контактная информация (номер телефона, адрес личной электронной почты); сведения о финансах (банковские реквизиты, номер карты).
Срок обработки и хранения персональных данных - в течение срока действия договора.

3.5. Для достижения цели, указанной в п. 3.2.3, Общество обрабатывает следующие персональные данные в отношении следующей категории субъектов – поставщики, подрядчики, арендодатели, исполнители:
ОГРН, идентификационный номер налогоплательщика (ИНН), фамилия, имя, отчество (при наличии) руководителя и/или контактного лица/представителя; фамилия, имя, отчество (при наличии) физического лица-арендодателя, паспортные данные; банковские реквизиты (номер расчетного счета), контактная информация (номера телефонов, адрес электронной почты, адрес регистрации по месту жительства).
Срок обработки и хранения персональных данных - в течение срока действия соответствующего договора для ведения предпринимательской деятельности.

3.6. Субъекты персональных данных имеют право:
3.6.1. на полную информацию о своих персональных данных и обработке этих данных.
3.6.2. на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, доступ к медицинской документации, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.6.3. требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения.
3.6.4. требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества персональных данных.
3.6.5. получать от Общества:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения; - сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
3.6.6. Иные права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации или иными нормативно правовыми актами.

4. Условия и порядок обработки персональных данных

4.1. Обработка персональных данных осуществляется следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.2. Обработка персональных данных Обществом осуществляется путем автоматизированной обработки персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, включая обработку при помощи автоматизированных систем управления базами данных и иных программных средств.
Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется в соответствии с положениями Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.3. Обработка персональных данных работников Работодателем возможна только с их согласия, за исключением случаев, предусмотренные законодательством Российской Федерации. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет Работодателю лично. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
4.4. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных.
4.5. Трансграничная передача персональных данных не осуществляется
4.6. Общество вправе передать персональную информацию Пользователя третьим лицам в следующих случаях:
1) пользователь выразил согласие на такие действия.
2) передача необходима для использования Пользователем определенного сервиса либо для исполнения определенного соглашения или договора с Пользователем.
3) передача предусмотрена действующим законодательством в рамках установленной законодательством процедуры.

5. Защита персональных данных

5.1. Для обеспечения защиты персональных данных при их обработке приняты следующие правовые, организационные и технические меры от несанкционированного, неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
1) назначение лица, ответственного за обработку персональных данных;
2) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
3) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
4) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
5) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
6) учетом машинных носителей персональных данных;
7) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
8) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
10) издание Обществом документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности
11) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
12) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
13) ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
14) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.2. Доступ к персональным данным, обрабатываемым с использованием средств автоматизации и без таковой, осуществляется согласно реестра доступа, составленного в рамках реестра обработки персональных данных.
5.3. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
5.4. Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.

6. Уничтожение персональных данных

6.1. Персональные данные, обрабатываемые Обществом, подлежат удалению/уничтожению в случае:
1) выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
2) отзыва субъектом персональных данных согласия на обработку его персональных данных;
3) достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
4) истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации, локальными нормативными актами Общества;
5) требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6)прекращения деятельности Общества в результате его реорганизации,
7) ликвидация Общества;
8) в иных случаях, предусмотренных действующим законодательством Российской Федерации.
6.2. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренныхФедеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
6.4. В случае обращения субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.5. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.6. Уничтожение персональных данных осуществляется комиссией Общества, состав которой определяется приказом генерального директора Общества.
6.7. Уничтожение материальных носителей, содержащих персональных данные, может производиться путем сжигания, измельчения.
6.8. Порядок удаления/уничтожения персональных данных определяется в локальных актах Общества, с учетом положений Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
6.9. Уничтожение персональных данных подтверждается следующими документами:
актом об уничтожении - если обрабатывались данные без использования средств автоматизации;
актом об уничтожении и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если обрабатывались данные с использованием средств автоматизации либо одновременно применяете два способа обработки.

7. Заключительные положения
7.1. Настоящее Положение вступает в действие с момента его утверждения и действует до утверждения нового положения.
7.2. Предложения, заявления, запросы или иные вопросы по настоящей Политике могут быть направлены в письменном виде по юридическому адресу Общества: 129515, г. Москва, вн. тер. г. Муниципальный округ Останкинский, ул. Академика Королева, д. 13, стр. 1, пом. 25/38, ком. 26А, офис 3, а также в форме электронного документа на адрес электронной почты: info@3ceni.ru