Конфиденциальность

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»

1. Общие положения.

1.1. Настоящая Политика об обработке персональных данных, далее по тексту – Политика, устанавливает порядок обработки персональных данных в Обществе с ограниченной ответственностью «Инжиниринговый Центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ» (ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ»), далее тексту – Компания. В настоящей политике используются термины и определения в соответствии с их значениями упомянутыми и определенными в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных», далее по тексту – ФЗ «О персональных данных», а также в значениях определяемых по тексту настоящей Политики.

1.2. Под обработкой персональных данных мы понимаем любое действие (операцию) или совокупность действий (операций) с персональными данными, включая но не ограничиваясь, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных с использованием средств автоматизации или без использования таких средств, совершаемых с согласия субъекта персональных данных или его представителя. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью. Согласие может быть выражено в форме совершения действий, принятия условий договора – оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

1.3. Под персональными данными мы понимаем, любую информацию, относящуюся прямо или косвенно к определенному субъекту персональных данных.

1.4. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

1.5. Оператор персональных данных (оператор) – по тексту настоящей Политики – ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ», которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.6. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

1.7. К субъектам персональных данных, персональные данные которых обрабатываются в Компании, в соответствии с настоящей Политикой относятся:
— работники Компании;
— члены семьи работников, в объеме определенном законодательством, в тех случаях, когда необходимы данные членов семьи;
— лица, имеющие гражданско-правовой характер договорных отношений с Компанией, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
— лица, проходящие различного рода практику (стажировку) в Компании;
— кандидаты на работу;
— контрагенты Компании, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Компанией, либо желающих заключить договоры с Компанией;
— пользователи официальных сайтов Компании в информационно-телекоммуникационной сети «Интернет»;
— иные лица, обработка персональных данных которых необходима Компании для осуществления целей, указанных в разделе 2.1. настоящей Политики.

1.8. Обработка персональных данных осуществляется в Компании на основе следующих принципов:
— обработка осуществляется на законной и справедливой основе, является прозрачной, подотчетной, безопасной для субъекта персональных данных;
— ограничена достижением конкретных, заранее определенных и законных целей;
— компания не обрабатывает персональные данные, несовместимые с целями сбора персональных данных;
— компания разделяет базы данных, содержащие персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— компания обрабатывает только персональные данные, которые отвечают целям их обработки, в объеме не превышающем заявленных целей;
— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
— принимаются необходимые меры либо обеспечиваются их принятие по удалению или уточнению неполных или неточных персональных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, либо согласием субъекта персональных данных;
— обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.9. В Компании обрабатываются следующие категории персональных данных:
— персональных данных специальной категории;
— биометрические персональные данные;
— иные персональные данные.

1.10. Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

1.11. Персональные данные относятся к категории конфиденциальной информации. Учитывая массовость документов, относящихся к персональным данным и ограничение мест обработки и хранения - соответствующий гриф ограничения на них не ставится.

1.12. Настоящая Политики является обязательной для исполнения всеми сотрудниками, имеющими полный или частичный доступ к данным субъектов персональных данных перечисленных в п.1.7. настоящей Политики.

1.13. Все вопросы, касаемые обработки персональных данных, не обозначенные в настоящем положении, регулируются действующим законодательством Российской Федерации.

2. Цели обработки персональных данных и условия их получения.

2.1. Персональные данные субъектов персональных данных обрабатываются в следующих целях:
1. Ведение основной деятельности: в рамках договорной деятельности компании в соответствии с Уставом, для осуществления работ по договорам.
2. Совершенствование и развитие деятельности: поиск, определение и анализ потенциально заинтересованных в сотрудничестве лиц, установление и поддержание делового общения с заинтересованными лицами, участие в процедурах закупок потенциальных и действующих контрагентов, обеспечение персонала визитными карточками; планирование, организация и проведение маркетинговых (рекламных, пиар), стимулирующих, статистических и аналитических мероприятий (включая опросы и исследования); осуществление информационного (коммуникационного) взаимодействия со всеми заинтересованными лицами, включая информационное обеспечение (обслуживание), направление информационных сообщений, обработку, рассмотрение поступающих обращений и информационных материалов любого характера, предоставление эффективной поддержки при возникновении у заинтересованных лиц различных проблем или ситуаций, а также анализ, управление эффективностью, совершенствование и развитие такого взаимодействия; осуществление, анализ, управление эффективностью, совершенствование и развитие взаимодействия со всеми заинтересованными лицами посредством Интернет-ресурсов, а именно: обеспечение безопасного и продуктивного взаимодействия, в т.ч. противодействие незаконным или несанкционированным действиям, мошенничеству, обеспечение информационной безопасности; персонализация пользовательского опыта путём предоставления индивидуализированных/адаптированных сервисов, функций, возможностей, предложений и рекомендаций;  предоставление эффективной поддержки при возникновении различных проблем или ситуаций.
3. Сопровождение и поддержка деятельности: ведение договорной работы, в том числе заключение, исполнение, изменение и прекращение договоров и соглашений с контрагентами; осуществление финансовых расчетов с лицами, не являющимися персоналом, ведение соответствующего бухгалтерского и налогового учета, независимая проверка бухгалтерской (финансовой) отчетности; принятие мер должной осмотрительности в отношении потенциальных и действующих контрагентов, включающее в себя управление связанными с контрагентами финансовыми, коммерческими, юридическими, регуляторными, операционными, контрактными, репутационными и комплаенс рисками, а также проверку полноты и достоверности предоставленных потенциальными и действующими контрагентами сведений; получение разрешения на право осуществления отдельных видов собственной деятельности и (или) получение подтверждения соответствия собственной деятельности применимым требованиям.
4. Информационно-технологическое обеспечение деятельности: информационно-технологическое обеспечение, облегчение и повышение эффективности рабочих (служебных) коммуникаций персонала; предоставление в пользование и (или) служебная эксплуатация программных и аппаратных средств (включая персональные компьютеры, офисное оборудование, средства связи, средства защиты информации), информационных систем, вычислительных и (теле) коммуникационных сетей и сервисов, а также надлежащий учет и возмещение расходов на служебную эксплуатацию таких программных и аппаратных средств, систем, сетей и сервисов; мониторинг и контроль служебной эксплуатации (в т.ч. целевого использования) и сохранности программных и аппаратных средств, систем, сетей и сервисов, а также оказание персоналу эффективной технической поддержки при такой служебной эксплуатации; обеспечение информационной безопасности, включая установление личности (идентификация) и (или) удостоверение личности (аутентификация), а также обеспечение надлежащего оборота и защиты сведений, составляющих охраняемую законом тайну и интеллектуальную собственность;
5. Обеспечение эффективности и устойчивости деятельности: эффективное обеспечение организации и управления деятельностью, проектами и активами (имуществом), обеспечение устойчивости (непрерывности) деятельности, ведение необходимой отчетности, стратегическое, бюджетное и иное планирование, поддержание правомерности и этичности ведения деятельности, обеспечение устойчивого развития (в контексте экологии, социальной ответственности, качества управления деятельностью), управление финансовыми, коммерческими, юридическими, регуляторными, операционными, контрактными, репутационными и комплаенс (выявление, предотвращение и урегулирование конфликта интересов, осуществление контроля за областями потенциального конфликта интересов, противодействие коррупции) рисками; осуществление прав, выполнение обязанностей и соблюдение запретов, предусмотренных любыми применимыми нормами, включая нормы законодательства, локальных актов, международных, национальных, отраслевых, профессиональных и групповых стандартов, правил/кодексов надлежащей практики и этики; защита прав и законных интересов, включая использование всех доступных средств правовой защиты и возможностей по ограничению объема наносимого вреда, а также делегирование (оформление) полномочий на представление интересов; участие во внесудебном и судебном урегулировании споров, исполнение судебных актов, содействие в отправлении правосудия; организация и ведение делопроизводства, обеспечение документооборота (в письменной и электронной форме), ведение юридически значимой переписки (в письменной и электронной форме), а также оформление и применение электронных подписей.
6. Подбор персонала: осуществление информационного (коммуникационного) взаимодействие с соискателями; оценка соответствия соискателей применимым требованиям, включая проверку знаний и способностей, проведение опросов; преддоговорное взаимодействие с соискателями.
7. Управление персоналом: оформление приема на работу; ведение кадрового и воинского учета; организация режима дистанционной (удаленной) работы; планирование работы персонала и управление производительностью труда, мониторинг и контроль количества и качества выполняемой работы, а также рационального использования рабочего времени, проверка и оценка исполнения должностных обязанностей, контроль соблюдения правил дисциплины труда и бережного отношения к имуществу работодателя и иных лиц; осуществление увольнения, переводов в должности и пр. кадровых процессов, организация и проведение стажировки и (или) практики; обеспечение кадрового документооборота (в письменной и электронной форме), ведение служебной переписки (в письменной и электронной форме), а также оформление и применение электронных подписей.
8. Вознаграждение персонала: расчет и выплата заработной платы, доплат, премий, пособий, возмещений по понесенным расходам, компенсаций, материальной помощи, вознаграждений за служебные результаты интеллектуальной деятельности и осуществление прочих выплат, а также предоставление налоговых вычетов; расчет и осуществление удержаний из заработной платы и иных доходов в предусмотренных законом случаях; ведение бухгалтерского и налогового учета в отношении персонала; организация предоставления банковских карт для личного и (или) служебного использования;
9. Обеспечение продуктивности, развития и безопасности персонала: поддержание эффективного взаимодействия, в том числе информационного (коммуникационного), с персоналом, планирование, организация и проведение корпоративных мероприятий различного характера; организация и (или) проведение обучения различного характера (включая инструктаж), повышения квалификации, профессиональной (пере)подготовки, проверка знаний и способностей, проведение интервью (опросов) служебного и иного характера; аттестация путем оценки деловых качеств и результатов труда, проверка показателей трудовой деятельности и иные формы оценки соответствия персонала; обеспечение, контроль, обучение (включая инструктаж), стажировка и проверка знаний в отношении охраны труда, техники безопасности, пожарной безопасности, гражданской обороны и защиты от чрезвычайных (аварийных) ситуаций, промышленной безопасности, охраны окружающей среды и санитарно-эпидемиологического благополучия населения; проведение специальной оценки условий труда (СОУТ) и оценки профессиональных рисков (ОПР); обеспечение средствами индивидуальной защиты; организация проведения медицинских осмотров, диспансеризации, экспертиз профессиональной пригодности и медицинских освидетельствований для определения возможности выполнения персоналом трудовой функции, а также для диагностики и предупреждения профессиональных заболеваний; расследование, оформление (рассмотрение), учет, оповещение в отношении микроповреждений (микротравм), несчастных случаев и профессиональных заболеваний.
10. Поддержка и мотивация персонала: участие в программах добровольного страхования, включая медицинское страхование, страхование жизни, страхование от несчастного случая; оценка уровня удовлетворенности своим трудом, текущим местом работы и условиями работы; организация отмечания событий и памятных дат различного характера.
11. Обеспечение пространственной мобильности персонала: организация (в т. ч. оформление) деловых встреч и поездок, включая командировки и иные служебные поездки, а также управление сопутствующими рисками; предоставление в пользование и (или) служебная эксплуатация транспортных средств, надлежащий учет и возмещение расходов на такую эксплуатацию, а также оказание эффективной технической помощи в ходе служебной эксплуатации транспортных средств; мониторинг и контроль служебной эксплуатации и сохранности транспортных средств, а также обеспечение защиты имущественных интересов работодателя в ходе служебной эксплуатации транспортных средств и при разрешении страховых/нестраховых инцидентов с ними.
12. Обеспечение безопасности деятельности: обеспечение внутриобъектового и пропускного режимов на используемых объектах недвижимости, включая установление личности (идентификация) и (или) удостоверение личности (аутентификация); обеспечение сохранности имущества и защиты физических лиц от противоправных деяний (посягательств).

2.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
— получения оригиналов необходимых документов;
— копирования оригиналов документов с последующем уничтожением копий;
— внесения сведений в учетные формы на основании предоставленных документов (на бумажных и электронных носителях);
— формирования персональных данных в ходе кадровой работы, бухгалтерского учета, юридического сопровождения и прочей деятельности Компании в соответствии с целями, перечисленными в п.2.1.;
— внесения персональных данных в информационные системы персональных данных, используемые подразделениями Компании;
— фото-видео съемка корпоративных мероприятий;
— предоставление информации о размерах одежды, обуви, головного убора сотрудником (антропометрические данные).

3. Условия и порядок обработки персональных данных субъектов персональных данных в информационных системах.

3.1. Обработка персональных данных в Компании осуществляется в следующих информационных системах:
— Информационно-управленческая система (ИУС);
— 1С: Предприятие;
— Контур КЭДО;
— Контур Диадок;
— программы для ведения бизнес-процессов (Омнитрекер, Проджект, Битрикс и другие, применяемые в компании и необходимые для постановки задач, проектного управления и выполнения задач, связанных с деятельностью компании).

3.2. Обработка персональных данных в Компании осуществляется в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

3.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

3.4. Доступ к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3.5. Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 ФЗ «О персональных данных». В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных уполномоченными должностными лицами Компании принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

4. Сроки обработки и хранения персональных данных. Порядок уничтожения персональных данных.

4.1. Сроки хранения персональных данных определяются в соответствии с установленными законодательством РФ нормами.

4.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4.3. Персональные данные подлежат уничтожению в следующих случаях:
— при достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено ФЗ «О персональных данных»;
— при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
— при выявлении факта неправомерной обработки персональных данных;
— при отзыве субъектом персональных данных согласия, если иное не предусмотрено ФЗ «О персональных данных».

4.4. Подразделениями Компании, ответственные за документооборот и архивирование, осуществляется систематический контроль и выявление документов, содержащих персональные данные с истекшими сроками хранения.

4.5. Вопрос об уничтожении документов, содержащих персональные данные с истекшими сроками хранения, рассматривается комиссией по уничтожению персональных данных, состав которой утверждается приказом. По итогам рассмотрения составляется акт о выделении к уничтожению документов. Документы, подлежащие уничтожению, могут быть заблокированы на 6 месяцев и уничтожены в массовом порядке по единому акту за полгода. Блокирование - временное прекращение работы с персональными данными, в рамках достижения одной или более целей обработки персональных данных. Таким образом, в Компании допустимо уничтожение документов, не подлежащих хранению, два раза в год, по решению комиссии с последующим оформлением акта.

4.6. В случаях, когда необходимо уничтожить единичный документ, пришедший в негодность или потерявший актуальность, то решение об его уничтожении принимает ответственный специалист с внесением соответствующей записи в Журнал регистрации уничтожения бумажных носителей персональных данных.

4.7. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации, с последующем составлением акта об уничтожении носителей.

5. Рассмотрение запросов субъектов персональных данных или их представителей.

5.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Компанией способы обработки персональных данных;
— место нахождения персональных данных, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку;
— информацию о способах исполнения Компанией обязанностей, установленных статьей 18.1 ФЗ «О персональных данных».

5.2. Субъекты персональных данных вправе требовать от Компании уточнения их персональных данных, их уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.3. Сведения, указанные в пункте 5.1. настоящего Положения, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

5.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральным законодательством, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6. Порядок обработки персональных данных.

6.1. Обработка персональных данных в Компании допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных осуществляется в статистических или иных исследовательских целях, в объеме необходимом для статистической обработки. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе;
— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом,
— а также обработка персональных данных Компанией возможна в иных случаях, предусмотренных федеральным законодательством.

6.2. Включение Компанией персональных данных субъектов в общедоступные источники персональных данных возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта персональных данных.

6.3. Все персональные данные субъекта персональных данных Компания получает у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных уведомляется об этом заранее и от него должно быть получено письменное согласие.

6.4. Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъекта персональных данных не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации.

6.5. Компания не несет ответственности в случае, если субъект персональных данных по личной инициативе распространяет свои персональные данные:
— на территории организации (например, фотографии и видеозаписи личные, и близких родственников, оригиналы и копии личных документов и документов близких родственников, сведения из своей личной жизни);
— в сети Internet, через мессенджеры, через корпоративную электронную почту, корпоративную сотовую и телефонную связь, во время использования как в личное, так и в рабочее время при подключении к корпоративной сети с помощью удалённого доступа.

6.6. В целях своевременного, полного и правильного исполнения Компанией своих обязанностей как налогового агента, своевременного предоставления субъекту персональных данных  социальных гарантий, предусмотренных законодательными и локальными нормативно-правовыми актами РФ, субъекту персональных данных  необходимо своевременно сообщать Компании с предъявлением подтверждающих документов о произошедших  изменениях в своих личных данных (паспортные данные, адрес регистрации, наличие или снятии инвалидности и другие документы, касаемые налогового учета, предоставления социальных гарантий и возможности выполнения работником должностных обязанностей).

6.7. В целях соблюдения требований законодательства к документообороту юридического лица, Компания формирует на субъекта персональных данных пакет документов, содержащий:
— копии документов, необходимых для целей кадрового, налогового учета и предоставления социальных гарантий;
— копии документов, необходимых для воинского учета;
— копии документов, подтверждающих квалификацию и дающих право допуска к выполнению определенного вида работ;
— актуальные данные медицинского осмотра, необходимые для выполнения должностных обязанностей в соответствии с требованиями законодательства РФ;
— документы, сформированные в процессе трудовой деятельности: трудовой договор и дополнительные соглашения к нему, лист ознакомления с локальными нормативными актами компании, согласие на обработку персональных данных, договор о конфиденциальности и договор о материальной ответственности, заявления и прочие документы, сформированные Компанией и подлежащие хранению в соответствии с требованиями трудового законодательства;
— документы необходимые для целей бухгалтерского учета в соответствии с требованиями законодательства РФ;
— документы необходимые для целей юридического делопроизводства в соответствии с требованиями законодательства РФ.

6.8. Специалист, ответственный за работу с документами, содержащими персональные данные, контролирует:
— доступ к персональным данным, содержащим персональные данные, только тех лиц, которым в силу их должностных обязанностей предоставлено право доступа к персональным данным и которые оформили Обязательство о неразглашении персональных данных и (или) Запрос на получение персональных данных;
— размещение в электронных системах, папках и на дисках ограниченного доступа (папка или диск доступа двух и более согласованных на получение информации лиц) только актуальных данных субъекта персональных данных, своевременное изъятие не актуальных или поврежденных данных, а так же только тех данных, на использование которых получено разрешение субъектов персональных данных, и которые необходимы при решении производственных вопросов.
При передаче персональных данных третьей стороне специалист, ответственный за работу с документами, содержащими персональные данные, обязан соблюдать следующие требования:
— не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
— не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или электронной почте;
— передавать данные только в объеме и в перечне, необходимом для достижения целей обработки.

6.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (машинные) носители информации.

6.10. Биометрические данные работников используются Компанией с их личного письменного согласия на бумажном носителе с собственноручной подписью работника, либо согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью в соответствии с Федеральным законом №63-ФЗ (ред. от 28.12.2024) "Об электронной подписи", и исключительно в профессиональных целях:
— оформление пропусков на объекты проведения работ (фотографии на пропуска и в базах данных при пропуске на объект);
— оформление документов допускающих к выполнению определенных видов работ (фотографии на удостоверения и свидетельства);
— предоставление средств индивидуальной защиты (информация о размере одежды и обуви);
— визуальное представление работника (фотография) в корпоративной сети, на сайтах компании, мессенджерах и прочих официальных страницах компании, в случаях, когда работник представляет компанию и/или достижения своей профессиональной деятельности;
— визуальное представление работника (видеосъёмка) в корпоративной сети, на сайтах компании, мессенджерах и прочих официальных страницах компании, в случаях, когда работник участвовал в корпоративных мероприятиях;
— визуальное представление работника в форме видеозаписей, сделанных в офисных помещениях, на объектах проведения работ в рамках видеоконтроля безопасности территории осуществления работ и согласно требованиям пропускного режима, с ограниченным срокам хранения видеоматериала;
— в программах для ведения бизнес-процессов (Омнитрекер, Проджект, Битрикс и другие, применяемые в компании и необходимые для постановки задач, проектного управления и выполнения задач, связанных с деятельностью Компании), для оформления личной страницы или в объеме, необходимом для выполнения задач, в целях соответствующих данной Политике;
— визуальное представление работника (фотография) для идентификации личности с целью доступа к офисным помещениям компании, в бумажном варианте на проходной компании.

7. Обеспечение безопасности персональных данных при их обработке.

7.1. Реализуются меры по организации обработки и обеспечению безопасности персональных данных, обрабатываемых без средств автоматизации, в том числе:
— для каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;
— обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
— соблюдаются условия, обеспечивающие сохранность персональных данных исключающие несанкционированный к ним доступ при хранении материальных носителей.

7.2. Реализуются меры по защите персональных данных при их обработке в информационных системах персональных данных, в том числе:
— определяется уровень защищенности персональных данных при их обработке в информационных системах;
— выполняются требования по защите персональных данных в информационных системах персональных данных в соответствии с определенными уровнями защищенности персональных данных;
— применяются необходимые средства защиты информации;
— осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем по обработке персональных данных;
— осуществляется учет машинных носителей персональных данных;
— осуществляется обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
— осуществляется восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— устанавливаются правила доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационных системах, там, где это необходимо;
— контролируются принимаемые меры по обеспечению безопасности персональных данных и уровень защищенности информационных систем.

7.3. К основным мерам защиты персональных данных относится разграничение и обоснованное ограничение доступа к персональным данным субъектам персональных данный: 

7.3.1. полный и неограниченный доступ к персональным данным имеет генеральный директор, главный бухгалтер, директор по персоналу, финансовый директор, начальник юридического отдела; начальник отдела разработки и сопровождения корпоративных систем;

7.3.2. прочие должностные лица компании имеют доступ к персональным данным в соответствии со своими должностными обязанностями, согласно оформленного Обязательства о неразглашении персональных данных (Форма 1).

7.3.3. Лица, имеющие доступ к данным информационных систем: информационно-управленческой системы (ИУС); 1С: Предприятие; Контур КЭДО; Контур Диадок; программы для ведения бизнес-процессов (Омнитрекер, Проджект, Битрикс и другие, применяемые в компании и необходимые для постановки задач, проектного управления и выполнения задач, связанных с деятельностью Компании), имеют доступ к персональным данным, расположенным в этих системах, в части их касаемой согласно оформленного Обязательства о неразглашении персональных данных (Форма 2).

7.4. К мерам защиты персональных данных также относятся:
— обоснованное и ограниченное размещение персональных данных в информационных системах, применяемых в компании;
— обоснованное и ограниченное предоставления персональных данных третьим лицам, согласно целям обработки персональных данных, перечисленных в п.2.1.;
— избирательное и обоснованное предоставление прав доступа к персональным данным;
— рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации;
— наличие необходимых условий в помещении для работы с персональными данными (конфиденциальными документами и базами данных);
— постоянное обновление и усовершенствование технических мер защиты и программного обеспечения. 

7.5. Технические средства охраны и сигнализации обеспечивают физическую защиту помещений и материальных источников хранения персональных данных.

7.6. Защита персональных данных в информационных системах осуществляется с помощью средств защиты информации, шифровальных (криптографических) средств, современных противовирусных программ.

7.7. Дополнительными мерами защиты персональных данных являются:
— уничтожение устаревших, неактуальных, некорректных, неиспользуемых в работе и неподлежащих хранению в установленные федеральным законодательством сроки персональных данных;
— уничтожение персональных данных по истечению срока хранения;
— оформление персональных данных для архивного хранения в соответствии с требованиями законодательства и установленными сроками.

8. Нарушение политики и ответственность.

8.1. Компания несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все сотрудники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящего положения и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных.

8.2. Любой работник, которому стало известно о нарушении настоящего положения или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки персональных данных, в соответствии с существующими в Компании процедурами.

8.3. Любые нарушения настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующим законодательством.
Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.