УТВЕРЖДЕНА
Приказом от 01 ноября 2023 г. № РРН-23-6-П195
ПОЛИТИКА в отношении обработки персональных данных |
|
Бизнес-процесс | 3.1 Управление персоналом |
Подпроцесс и/или направление деятельности | 3.1.8 Корпоративная этика |
Редакция / Год выпуска
документа |
03/2023 |
Подразделение, ответственное за контроль исполнения | ООО «Русский радиатор» |
Подразделение-разработчик | Подразделение генерального директора |
В Политике использованы ссылки на следующие нормативные документы[1] (таблица №1):
Таблица № 1 – Нормативные ссылки
Обозначение | Наименование |
152-ФЗ | Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) “О персональных данных” |
Политика в отношении файлов cookie | Политика в отношении файлов cookie |
Положение о порядке обработки и обеспечения безопасности персональных данных | Положение «Порядок обработки и обеспечения безопасности персональных данных» |
В Политике используются следующие термины и определения (таблица №2).
Таблица № 2 – Термины и определения
Термин | Определение |
Автоматизированная обработка персональных данных | Обработка персональных данных с помощью средств вычислительной техники (статья 3 152-ФЗ) |
База персональных данных | Упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных) |
Биометрические персональные данные | Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных (статья 11 152-ФЗ) |
Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (статья 3 152-ФЗ) |
Дата-центр | Специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет |
Доступ к персональным данным | Ознакомление определенных лиц (в том числе работников) с персональными данными субъектов персональных данных, обрабатываемыми оператором, при условии сохранения конфиденциальности этих сведений |
Информационная система персональных данных, ИСПДн | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (статья 3 152-ФЗ) |
Инцидент в области ПДн | Любой факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов ПДн |
Компьютерный инцидент | Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры (КИИ), сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки |
Контрагент | Сторона договора с Оператором, не являющаяся работником Оператора |
Конфиденциальность персональных данных | Обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством |
Неавтоматизированная обработка персональных данных | Обработка персональных данных без помощи средств вычислительной техники |
Обезличивание персональных данных | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (статья 3 152-ФЗ) |
Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 152-ФЗ) |
Оператор | Юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В настоящем документе под Оператором понимается ООО «Русский радиатор», если иное не указано специально |
Персональные данные, ПДн | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (статья 3 152-ФЗ) |
Персональные данные, разрешенные для распространения | Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном федеральным законом (статья 3 152-ФЗ) |
Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
Работник | Физическое лицо, вступившее в трудовые отношения с Оператором |
Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц (статья 3 152-ФЗ) |
Специальные категории персональных данных | Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни |
Субъект персональных данных, Субъект | Определенное или определяемое физическое лицо, к которому относятся персональные данные |
Трансграничная передача персональных данных | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (статья 3 152-ФЗ) |
Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (статья 3 152-ФЗ) |
Файл cookie | Файл, создаваемый сайтом и хранящийся локально в интернет-браузере или файловой системе компьютера или мобильного устройства |
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Таблица № 3 – Цели обработки персональных данных, категории субъектов и перечень ПДн
№ | Категории субъектов персональных данных | Определение категорий субъектов персональных данных | Цели обработки персональных данных | Перечень обрабатываемых персональных данных |
1. | Граждане | Физические лица, обратившиеся к Оператору лично, а также направившие индивидуальные или коллективные письменные обращения или обращения в форме электронного документа | 1) Обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Оператора, в случаях и порядке, предусмотренным законодательством и локальными нормативными актами Оператора. | Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
2. | Контрагенты
|
Физические лица, с которыми у Оператора существуют договорные отношения, за исключением трудовых, с которыми Оператор намерен вступить в договорные отношения или которые намерены вступить в договорные отношения с Оператором, включая бывших контрагентов, с которыми договоры завершены/ прекращены | 1) Выполнение норм Гражданского законодательства РФ, регулирующих договорную работу. Подготовка, заключение и исполнение договоров с контрагентами Оператора, в том числе договоров гражданско-правового характера. |
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
3. | Представители контрагентов, Работники контрагентов | Представители или работники Контрагентов Оператора или юридических лиц, с которыми у Оператора существуют договорные отношения, с которыми Оператор намерен вступить в договорные отношения или которые намерены вступить в договорные отношения с Оператором, включая юридических лиц, с которыми договоры завершены/ прекращены | 1) Выполнение норм Гражданского законодательства РФ, регулирующих договорную работу. Подготовка, заключение и исполнение договоров с контрагентами Оператора, в том числе договоров гражданско-правового характера. |
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
4. | Получатели стипендий | Студенты, которым Оператор выплачивает именные стипендии | 1) Назначение и выплата Оператором именных стипендий студентам. | Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
5. | Пользователи сайта | Авторизованные пользователи сайта (сайтов) Оператора в сети Интернет | 1) Регистрация Пользователей на сайте в целях создания личного кабинета, продвижения товаров (работ, услуг), предоставления Пользователям сайта возможности:
– использования предоставляемых сайтом интернет-сервисов; – связаться с Оператором посредством формы обратной связи на сайте; – запросить расчет стоимости продуктов и услуг Оператора; – предложить свои товары и услуги Оператору; |
Общие персональные данные:
– фамилия, имя, отчество; – число, месяц, год рождения; – телефонный номер (мобильный); – файлы cookie.
|
6. | Посетители | Физические лица, посещающие охраняемые помещения/ территории Оператора, не имеющие права постоянного входа в такие помещения/ территории | 1) Обеспечение пропускного режима на территорию и предоставление возможности парковки на территории Оператора. | Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
7. | Посетители сайта | Незарегистрированные посетители сайта (сайтов) Оператора в сети Интернет | 1) Информирование Посетителей сайта о деятельности Оператора, реализуемых Оператором продуктах, товарах и услугах; организованных Оператором торгах. | Общие персональные данные:
– файлы cookie. |
8. | Практиканты | Лица, проходящие у Оператора стажировку или практику, или выразившие желание их проходить | 1) Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением.
2) Получение услуг по поддержке информационных систем, созданию и ведению учетных записей пользователей баз данных. |
Перечень обрабатываемых персональных данных определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
9. | Представители субъектов ПДн | Представители субъектов персональных данных, обращающихся к Оператору по поручению и от имени субъектов персональных данных | 1) Проверка полномочий Представителей субъектов и выполнение Оператором действий по указанию Представителей субъектов персональных данных. | Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
10. | Работники (бывшие работники) | Физические лица, вступившие в трудовые отношения с Оператором, включая лиц, с которыми трудовые отношения прекращены | 1) Обеспечение соблюдения законодательства РФ (трудового, налогового, пенсионного, страхового, об обороне, о противодействии коррупции, об исполнительном производстве, о занятости населения), содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества при заключении/расторжении и во исполнение трудового договора, включая:
– ведение кадрового и бухгалтерского учета; – осуществление и защита прав и законных интересов Оператора. 2) Поддержка информационных систем, создание и ведение учетных записей пользователей, внедрение программных продуктов и баз данных, предназначенных для автоматизации. 3) Предоставление компенсаций, льгот и гарантий в соответствии с нормативными актами Оператора. 4) Обеспечение пропускного режима на территорию Оператора. 5) Информирование путем рассылки на номер мобильного телефона (рабочего и/или личного) коротких текстовых сообщений (смс), связанных с исполнением трудового договора, локальных нормативных и распорядительных актов Оператора, а также в связи с неблагополучной эпидемиологической обстановкой и иными экстренными обстоятельствами. |
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
11. | Соискатели | Соискатели вакантных должностей (кандидаты для приема на работу) к Оператору или другому юрлицу по поручению Оператора, обратившиеся лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети Интернет | 1) Обеспечение соблюдения законодательства РФ о занятости населения, рассмотрение резюме и подбор кандидатов (соискателей) на вакантные должности для дальнейшего трудоустройства у Оператора, а также согласование кандидатур в соответствии с локальными нормативными актами Оператора, в том числе с целью проведения проверки на предмет наличия конфликта интересов и обеспечения соблюдения иных мер по противодействию коррупции. | Общие персональные данные:
– фамилия, имя, отчество; – число, месяц, год рождения; – пол; – информация о гражданстве; – адрес фактического местожительства; – контактные данные, в том числе адрес электронной почты, телефонный номер (домашний, рабочий, мобильный); – уникальный номер индивидуального лицевого счёта застрахованного лица в системе обязательного пенсионного страхования (СНИЛС); – сведения об образовании, о повышении квалификации и профессиональной переподготовке (включая серию, номер, дату выдачи документа об образовании, о повышении квалификации или о переподготовке, наименование образовательного учреждения, год завершения обучения, квалификация, специальность или направление); – сведения об ученой степени, ученом звании, даты их присвоения; – информация о владении иностранными языками, степень владения; – сведения о предыдущей трудовой деятельности; – сведения о наградах, поощрениях, почетных званиях; – стаж работы. Биометрические персональные данные: – фотографическое изображение с участием субъекта персональных данных. Специальные категории персональных данных: – сведения о наличии инвалидности (включая сведения, содержащиеся в подтверждающих документах, ИПРА) (при подборе на квотируемые места) |
12. | Члены семей работников
|
Близкие родственники, супруги и лица, находящиеся на иждивении Работников | 1) Обеспечение соблюдения законодательства РФ (трудового, налогового, пенсионного, страхового, об обороне, о противодействии коррупции, об исполнительном производстве), включая ведение кадрового и бухгалтерского учета
2) Предоставление компенсаций, льгот и гарантий в соответствии с нормативными актами Оператора. |
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных |
Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и в соответствии со следующими принципами:
Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных Оператором целей, не использует персональные данные во вред субъектам таких данных.
Цели обработки персональных данных Оператора и соответствующие им категории субъектов ПДн представлены в разделе 6 настоящей Политики в Таблице № 3.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Оператор не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в разделе 6 настоящей Политики, не использует персональные данные субъектов в каких-либо целях, кроме указанных.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Оператор принимает все разумные меры по поддержке актуальности обрабатываемых ПДн, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои ПДн и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом
В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которых с согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона (служебный, личный), адрес электронной почты (служебный), фотографическое изображение (в соответствии со ст. 152.1 Гражданского кодекса Российской Федерации «Охрана изображения гражданина»), иные персональные данные, сообщаемые субъектом персональных данных.
Оператор вправе разместить свои информационные системы с обрабатываемыми персональными данными в дата-центре (облачной вычислительной инфраструктуре) с соблюдением требований действующего законодательства Российской Федерации.
Большинство интернет-браузеров настроены принимать файлы cookie автоматически. При этом Субъект может самостоятельно изменить настройки своего браузера – отключить или ограничить использование cookie, получать уведомления об их использовании.
Политика в отношении файлов cookie представлена на сайте Оператора.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченным работником Оператора в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Политика пересматривается по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений международного или законодательства Российской Федерации в сфере персональных данных.
При внесении изменений в Политику учитываются:
Номер
редакции |
Основание для разработки новой редакции | Дата начала
согласования и утверждения |
Редакция № 03 | Рекомендации Роскомнадзора к подготовке документа, определяющего политику Оператора в отношении обработки персональных данных | |
[1] Рекомендуется проверить действие ссылочных документов в информационной системе общего пользования – для внутренней документации на корпоративном сервере, для внешней документации – через информационно-справочные системы (например, Техэксперт). Если ссылочный документ заменен (изменен), то следует руководствоваться замененным (измененным) документом.