Написать нам

Политика обработки персональных данных

Настоящая Политика обработки персональных данных ООО «Электра Софт» (далее по тексту – Политика) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции ООО «Электра Софт» (далее по тексту – Общество) при обработке персональных данных, а также реализуемые в Обществе требования к защите персональных данных.

Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяются в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.

1. Общие положения

Политика является общедоступной и подлежит размещению на информационных стендах офисов и на сайтах Общества в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных.

Требования данной Политики являются обязательными для исполнения всеми работниками Общества.

Настоящая Политика разработана в соответствии с нормами международного и российского права в области персональных данных, а также положениями действующего законодательства Российской Федерации, в том числе:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Гражданско-процессуальный кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Кодекс об административных правонарушениях;
  • Кодекс административного судопроизводства Российской Федерации;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
  • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
  • Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»;
  • Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
  • Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
  • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне»;
  • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
  • Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
  • Федеральный закон от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
  • Федеральный закон от 21.11.2011 № 325-ФЗ «Об организованных торгах»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Положение о воинском учете, утвержденное постановлением Правительства Российской Федерации от 27.11.2006 № 719;
  • Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

2. Термины, определения и сокращения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Контрагент – юридическое лицо или индивидуальный предприниматель, пользователь услуг связи или иных услуг Общества, с которым заключен соответствующий договор.

Конфиденциальность персональных данных – обязанность Общества и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общество – Общество с ограниченной ответственностью «Электра Софт» (ООО «Электра Софт»).

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Общество является оператором персональных данных.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Пользователь сайта – это физическое лицо, которое посетило ресурс или совершил на нём какое-либо действие.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Работник – физическое лицо, вступившее в трудовые отношения с ООО «Электра Софт».

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Сайты Общества – любой из сайтов в информационно-телекоммуникационной сети «Интернет», владельцем которого является Общество.

Субъект ПДн – физическое лицо, к которому относятся соответствующие персональные данные.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Файлы cookie – это фрагмент данных, отправленный веб-сервером и хранимый на устройстве (мобильном телефоне, планшете и т.д.). Каждый раз при попытке открыть страницу соответствующего сайта браузер пересылает этот фрагмент данных серверу в составе НТТР-запроса.

3. Правовые основания обработки персональных данных

  • согласие субъекта ПДн на обработку его персональных данных, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории ПДн;
  • положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь, документами, указанными в пункте 2.2. настоящей Политики;
  • судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
  • договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;
  • необходимость обеспечения и/или осуществления защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • необходимость осуществления прав и законных интересов Общества или третьих лиц либо необходимость достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • необходимость обработки персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
  • требование федерального закона об опубликовании или обязательном раскрытии персональных данных.

4. Принципы обработки персональных данных в Обществе

Принципы, на которых основывается Общество при обработке ПДн:

  • обработке подлежат только те ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработка ПДн должна осуществляться на законной и справедливой основе;
  • обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных ПДн.

ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством Российской Федерации. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими.

В целях исполнения положений действующего законодательства Российского Федерации в сфере ПДн Обществом для каждой цели обработки ПДн определяются категории и перечень обрабатываемых ПДн и категории субъектов, ПДн которых обрабатываются.

Сроки обработки и хранения ПДн, а также порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, для каждой цели, определяются в порядке, предусмотренным разделами 11 и 12 настоящей Политики.

5. Порядок и условия обработки персональных данных

Обработка ПДн в Обществе осуществляется с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

Согласие на обработку персональных данных, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Общество обеспечивает субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.

В случае обработки биометрических персональных данных, она может осуществляться только при наличии согласия на обработку субъекта ПДн в письменной форме, за исключением случаев, предусмотренных частью 2 статьи И Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

В зависимости от целей обработки ПДн такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обработка ПДн без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

Автоматизированная обработка ПДн должна осуществляться в ИСПДн Общества. При автоматизированной обработке, ПДн содержатся на машинных носителях ПДн. Фиксация ПДн на машинном носителе производится с использованием средств вычислительной техники (копирование ПДн на любой съемный или несъемный машинный носитель, ввод ПДн в базу данных и т.д.).

К обработке ПДн допускаются только те работники Общества, которые осуществляют свою трудовую деятельность в рамках должностных полномочий. Указанные работники имеют право получать доступ только к тем ПДн, которые необходимы им для выполнения своих должностных обязанностей и обязываются выполнять пункты, указанные в Обязательстве о неразглашении персональных данных (Приложение № 1 к Политике).

Общество обеспечивает информирование работников, осуществляющих обработку ПДн без использования средств автоматизации, о факте обработки ими ПДн, обработка которых осуществляется Обществом без использования средств автоматизации, о категориях, обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации и внутренними нормативными актами Общества.

Общество, получая доступ к ПДн, обязано не раскрывать и не распространять третьим лицам ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным Обществом целям их обработки.

6. Цели обработки ПДн Обществом как Оператором ПДн

6.1. Информационное взаимодействие с субъектом ПДн, в том числе в рамках рассмотрения обращений и (или) сообщений субъектов ПДн, обратившихся в ООО «Электра Софт» по различным вопросам (включая обработку обращений и (или) сообщений физических и юридических лиц, обратившихся в ООО «Электра Софт»). Категории персональных данных: общедоступные персональные данные; фамилия, имя, отчество; дата и место рождения; информация о предоставленном продукте, услуге, сервисе; сведения о трудовой деятельности (сведения о занимаемой должности, сведения о месте работы); информация, содержащаяся в сообщении субъекта ПДн и приложениях к нему; адрес электронной почты; контактный номер телефона. Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных; Работники; Контрагенты (физические лица, ИП и юридические лица); в том числе их представители.

6.2. Организация прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением. Категории персональных данных: общедоступные персональные данные; фамилия, имя, отчество; год, месяц, число и место рождения; данные документа, удостоверяющего личность; адрес фактического проживания или иной контактный адрес; номер контактного телефона; сведения об образовательном учреждении, факультет, специальность, форма обучения, курс, номер группы, период прохождения практики. Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Лица, проходящие практику.

6.3. Выполнение задач и функций ООО «Электра Софт» в рамках осуществления видов деятельности, предусмотренных Уставом ООО «Электра Софт» и иными нормативными правовыми актами, иными внутренними нормативными актами ООО «Электра Софт». Категории персональных данных: Общедоступные персональные данные; фамилия, имя, отчество, предыдущая фамилия, имя отчество (в случае изменения); год, месяц, число и место рождения; адрес регистрации по месту жительства (пребывания); адрес фактического проживания; пол; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); данные документа, удостоверяющего личность; данные об образовании, профессии, специальности, квалификации, опыте работы, стаже, повышении квалификации и (или) профессиональной переподготовке, наличие ученой степени; сведения о местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений; сведения о лишении права занимать определенные должности или заниматься определенной деятельностью; документы, подтверждающие полномочия участников процедур корпоративного управления; финансовая информация (сведения о доходах и расходах, сведения о неисполненных обязательствах); номер банковского счета; сведения о семейном положении; сведения об образовании; подпись; контактный номер телефона; адрес электронной почты; сведения о судимости; Общедоступные ПДн, необходимые для реализации процедур корпоративного управления. Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Работники ООО «Электра Софт».

6.4. Исполнение требований, предусмотренных Трудовым кодексом Российской Федерации, в том числе: - привлечение и организация отбора кандидатов на замещение вакантных должностей; - формирование кадрового резерва, выплата работникам ООО «Электра Софт» заработной платы, компенсаций, премий; - осуществление налоговых и пенсионных отчислений; - организация воинского учета; оформление справок; - расчетов с подотчетными лицами; предоставление работникам ООО «Электра Софт» отпусков и направление их в командировки, бронирование номеров в гостинице направляемым в командировку работникам); - предоставление работникам и членам их семей дополнительных гарантий и компенсаций; - проведение различного рода исследований и опросов персонала, иных мероприятий, направленных в том числе на оценку уровня удовлетворенности и вовлеченности, а также внешнего восприятия работодателя и его практик; - развитие персонала (организация и проведение образовательных программ повышения квалификации; программ профессиональной переподготовки; проведение любых иных форм обучения, направленных на развитие персонала).

Категории персональных данных: Общедоступные персональные данные; фамилия, имя, отчество; пол; дата рождения; место рождения; гражданство; данные документа, удостоверяющего личность (серия, номер, дата выдачи, кем выдан);табельный номер; ИНН; СНИЛС; вид работы (основная, по совместительству); знание иностранного языка; сведения об образовании (вид; наименование образовательного учреждения; год окончания образовательного учреждения; квалификация по документу об образовании; наименование, серия и номер документа об образовании, о квалификации или наличии специальных знаний; направление, специальность по документу об образовании); сведения о стаже работы (общий; страховой); состояние в браке; состав семьи; адрес места жительства; адрес регистрации; номер телефона; сведения о воинском учете (категория запаса; воинское звание; профиль; военно-учётная специальность; категория годности к военной службе);сведения о приеме на работу и переводе на другую работу; структурное подразделение; должность; специальность; профессия; оклад; надбавки; квалификация по ОКЗ; повышение квалификации (дата начала обучения; дата окончания обучения; вид повышения квалификации; наименование образовательного учреждения; данные документа (наименование; серия, номер; дата). Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Кандидаты на вакантные должности; Работники; Бывшие работники; Родственники работников; Работники и представители профессиональных союзов и иных профсоюзных организаций.

6.5. Оказание сервисной, клиентской и технической поддержки (включая абонентское и справочно­информационное обслуживание). Категории персональных данных: Общедоступные персональные данные; фамилия, имя, отчество; адрес размещения оборудования; информация об оказываемой услуге (в том числе информация о договоре; информация, содержащаяся в иных документах, формируемых в период оказания услуг); адрес электронной почты. Категории субъектов, персональные данные которых обрабатываться: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Работники; Контрагенты ИП; Контрагенты юридические лица.

6.6. Взаимодействие с контрагентами и партнерами при ведении закупочной деятельности и (или) договорной работы (включая преддоговорную работу), при исполнении договоров и соглашений. Категории персональных данных: Общедоступные персональные данные; фамилия, имя, отчество; год, месяц, число и место рождения; адрес регистрации по месту жительства (пребывания); адрес фактического проживания; гражданство; данные документа, удостоверяющего личность (в том числе копии документа); финансовая информация (сведения о доходах и расходах, сведения о неисполненных обязательствах (в том числе кредитных, информация о номере банковского счета); сведения о трудовой деятельности (сведения о занимаемой должности, сведения о профессии, сведения о месте работы, сведения о стаже работы); сведения об участии (членстве) в органах управления иных юридических лиц; адрес электронной почты; номер мобильного и (или) рабочего телефонов. Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Работники; Контрагенты, в том числе потенциальные; Представители контрагентов.

6.7. Осуществление досудебной и судебной работы. Категории персональных данных: Общедоступные персональные данные; фамилия, имя, отчество; год, месяц, число и место рождения; адрес регистрации по месту жительства (пребывания); адрес фактического проживания; гражданство; данные документа, удостоверяющего личность (в том числе копия документа, удостоверяющего личность); финансовая информация (сведения о балансе лицевого счета; сведения о расходах, сведения о неисполненных обязательствах по договорам, банковского счета); идентификационный номер налогоплательщика (ИНН); информация о предоставленном продукте; сведения о трудовой деятельности (сведения о занимаемой должности, сведения о профессии; сведения о месте работы); информация, содержащаяся в сообщении субъекта ПДн и приложениях к нему; адрес электронной почты; иная информация, содержащееся в материалах досудебной и судебной работы. Категории субъектов, персональные данные которых обрабатываются: Общедоступные категории субъектов персональных данных, персональные данные которых обрабатываются; Работники; Уволенные работники; Контрагенты, в том числе представители контрагентов.

7. Обеспечение конфиденциальности и безопасности персональных данных

Обществом принимаются необходимые правовые, организационные и технические меры в целях обеспечения конфиденциальности и безопасности ПДн, субъектов ПДн, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных.

В Обществе определены и реализуются следующие требования законодательства в области защиты ПДн:

  • в соответствии с Законом о персональных данных определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн, в частности:
  • назначено лицо, ответственное за организацию обработки ПДн, а также определены лица, ответственные за обработку и защиту ПДн;
  • определены угрозы безопасности ПДн при их обработке в информационных системах ПДн;
  • требования о соблюдении конфиденциальности ПДн;
  • требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
  • требования об обязанности Общества при сборе ПДн, установленных статьей 18 Закона о персональных данных.
  • проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • разработана система защиты информации для ИСПДн, учитывающая требования подзаконных актов Российской Федерации в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
  • проводятся мероприятия в целях обнаружения фактов несанкционированного доступа к ПДн и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
  • определены мероприятия, направленные на восстановление ПДн, в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
  • ведется учет машинных носителей ПДн;
  • применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
  • осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Общества;
  • проводится оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения Закона о персональных данных;
  • изданы локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, процедуры, направленные на устранение последствий таких нарушений;
  • проводится ознакомление работников, допущенных к обработке ПДн субъектов ПДн, с требованиями, установленными действующим законодательством Российской Федерации в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
  • организована надлежащая обработка ПДн, осуществляемая с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
  • организован надлежащий порядок работы с ПДн, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих ПДн, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без использования средств автоматизации);
  • доступ работников к информации, содержащей ПДн субъектов ПДн, организован в соответствии с их должностными (функциональными) обязанностями.

8. Хранение персональных данных

При осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Закона о персональных данных.

Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда иной срок хранения ПДн установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

Обработка ПДн в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей ПДн) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

При хранении материальных носителей ПДн соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.

Общество обеспечивает раздельное хранение ПДн (материальных носителей ПДн), используемых для различных целей обработки, осуществляемой без использования средств автоматизации.

9. Передача персональных данных третьим лицам

Передача ПДн третьим лицам допускается с письменного согласия субъектов ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов ПДн, а также в иных случаях, установленных законодательством Российской Федерации.

Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законодательством Российской Федерации, на основании заключаемого с этим лицом договора, в том числе государственного и муниципального контракта (далее – поручение).

При этом, лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о персональных данных, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральными законами Российской Федерации.

В поручении должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Общества в течении срока действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении Общества о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.

Общество в ходе своей деятельности не осуществляет, но вправе осуществлять трансграничную передачу ПДн субъектов ПДн в соответствии с Законом о персональных данных и международными договорами Российской Федерации.

В Обществе трансграничная передача ПДн может осуществляться в том числе при:

  • взаимодействии с иностранными и международными провайдерами по организации процесса обучения сотрудников;
  • заключении договоров, соглашений о намерениях и партнерстве с иностранными и международными операторами связи;
  • информационном обеспечении (в том числе, контактными данными работников) в рамках взаимодействия с иностранными контрагентами (партнерами) и/или иными третьими лицами по вопросам деятельности ООО «Электра Софт», в том числе, в целях защиты и представления интересов ООО «Электра Софт», осуществления договорной, закупочной и предпринимательской деятельностей;
  • организации командировок и деловых поездок сотрудников в рамках осуществления взаимодействий с иностранными и международными контрагентами, в том числе бронирование зарубежных гостиниц и приобретение транспортных билетов у иностранных компаний при направлении работников в международные поездки;
  • участии в мероприятиях с представительскими целями и целями развития международных партнерских взаимодействий (включая участие в выставках, форумах, конференциях и иное).

Общество при осуществлении трансграничной передачи ПДн получает согласие субъекта ПДн.

10. Обработка файлов cookie

Общество осуществляет обработку файлов cookie при посещении сайтов Общества и для достижения следующих целей:

  • сохранения информации о пользователе на время использования сайта;
  • определения (распознавания) браузера и (или) устройства пользователя при каждом входе на сайт, сохранения настроек экрана и браузера, сохранения логина и пароля пользователей (для входа на сайт);
  • работы отдельных разделов и (или) страниц сайта (где использование файлов cookie является необходимым);
  • повышения качества обслуживания и обеспечения максимального удобства и комфорта пользователей, и исключительно для определения способов использования сайта или портала пользователями.

Общество не использует файлы cookie сайта для идентификации пользователей, а исключительно для определения способов использования сайта или портала пользователями.

Через файлы cookie Общество может собирать следующую информацию о пользователях сайта, в том числе автоматически получаемые http-сервером при доступе Пользователя к Сервису Общества:

  • 1Р-адрес;
  • тип браузера и устройства, с которого выполняется вход на сайт или портал;
  • операционная система к информационно-телекоммуникационной сети «Интернет»;
  • информация о территории, на которой выполняется вход на сайт или портал;
  • дата и время посещения сайта или портала;
  • возможное количество совершенных пользователем «кликов» компьютерной мышью.

На сайте расположены уведомления о сборе и обработке данных файлов cookie и ссылка на Политику, а также подтверждение принятия условий обработки либо закрытия уведомления.

При работе с сайтом или порталом пользователи могут ознакомиться с тем, какие именно файлы cookie на устройстве, с которого совершается вход на сайт, и (или) удалить уже загруженные ранее файлы cookie путем изменения настроек своего браузера.

11. Актуализация, исправление, удаление и уничтожение персональных данных

В случае подтверждения факта неточности ПДн Обществом организуется работа об их актуализации.

Обработка ПДн прекращается Обществом в случае выявления и подтверждения факта неправомерности их обработки.

Уничтожение ПДн при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей инициирует подразделение-инициатор, в котором эти ПДн обрабатываются.

Уничтожение ПДн должно исключать возможность их восстановления программными или физическими методами.

Уничтожение ПДн на бумажных носителях может быть произведено путем измельчения, преобразования в целлюлозную массу указанного бумажного носителя или иным образом, гарантирующим невозможность их восстановления.

Для уничтожения ПДн из ИСПДн применяются сертифицированные программные средства и механизмы средств защиты информации ИСПДн, обеспечивающие невозможность восстановления и повторного использования ПДн.

Факт уничтожения подтверждается посредством формирования выгрузки из журнала регистрации событий в ИСПДн и оформления Акта об уничтожении ПДн.

Акты об уничтожении ПДн и приложенные к ним выгрузки из журнала регистрации событий в ИСПДн подлежат хранению в Обществе в течение трех лет с момента уничтожения ПДн.

Обезличивание ПДн в Обществе может быть проведено в статистических, иных исследовательских целях или иных целях, соответствующих законодательству Российской Федерации.

12. Права и обязанности субъекта ПДн и Общества

Права Субъекта ПДн:

  • получать информацию, касающуюся обработки его ПДн, в том числе содержащей подтверждение факта обработки ПДн Обществом, правовых оснований и цели обработки ПДн, сведений о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального законодательства Российской Федерации и иные сведения, предусмотренные Законом о персональных данных и иными федеральными законами;
  • требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом ПДн согласия на обработку ПДн;
  • требовать прекращения обработки своих ПДн;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку ПДн.

Для реализации своего права на получение информации, касающейся обработки его ПДн, субъект ПДн, или его представитель, должен обратиться в Общество, с письменным заявлением в свободной форме, которое должно содержать:

  • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом;
  • подпись субъекта ПДн или его представителя.
  • обратиться в адрес Общества с заявлением об отзыве ранее данного согласия на обработку ПДн;
  • обратиться к Обществу с требованием о прекращении обработки ПДн.

Субъект ПДн обязан своевременно представлять в Общество информацию об изменении своих ПДн в целях уточнения и актуализации ПДн.

Права Общества как оператора ПДн:

  • получать документы, содержащие ПДн;
  • предоставлять ПДн субъектов ПДн третьим лицам, в случаях, предусмотренных законодательством Российской Федерации (налоговым, правоохранительным органам и т.д.);
  • отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
  • продолжить обработку ПДн без согласия субъекта ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2–10 части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных
  • использовать ПДн субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.

Обязанности Общества как оператора ПДн:

  • сообщать в порядке, предусмотренном статьей 14 Закона о персональных данных субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течении 10 рабочих дней с даты получения запроса субъекта ПДн или его представителя. Все обращения субъекта ПДн (его представителя) заносятся работником, ответственным за организацию приема и обработки обращений и запросов субъекта ПДн или их законных представителей, в журнал учета обращений субъектов ПДн и законных представителей субъектов ПДн по вопросам обработки ПДн;
  • предоставлять безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн;
  • вносить необходимые изменения в ПДн субъекта ПДн;
  • осуществлять уничтожение ПДн, с момента представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • уведомлять субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы;
  • сообщать в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течении 10 рабочих дней с даты получения такого запроса;
  • немедленно прекращать по требованию субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
  • разъяснять субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможных юридических последствиях такого решения, предоставлять возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов. Рассматривать возражения субъекта ПДн в части выбора автоматизированной обработки ПДн;
  • разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку, если в соответствии с федеральным законодательством Российской Федерации предоставление ПДн и (или) поручение Обществом согласия на обработку ПДн являются обязательными;
  • осуществлять блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивать их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн. Кроме того, осуществлять блокирование ПДн в случае выявления неточных ПДН при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн;
  • прекращать неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с даты выявления неправомерной обработки ПДн, или обеспечивать прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества; — в случае если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;
  • прекращать обработку ПДн в случае достижения цели обработки ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и осуществлять уничтожение ПДн или обеспечивать их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;
  • прекращать обработку ПДн в случаях отзыва субъектом ПДн согласия на обработку его ПДн или обеспечивать прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и, в случае если сохранение ПДн более не требуется для целей обработки ПДн, осуществлять уничтожение ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектов ПДн, либо если Обществом не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами;
  • прекратить передачу (распространение, предоставление, доступ) ПДн, ранее разрешенных субъектом ПДн для распространения, в течение 3 рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решения суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу;
  • уведомлять уполномоченный орган по защите прав субъектов ПДн об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн:
  • в течение 24 часов с момента выявления такого инцидента - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставлять сведения о лице, уполномоченном Обществом на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
  • в течение 72 часов с момента выявления такого инцидента - о результатах внутреннего расследования выявленного инцидента, а также предоставлять сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
  • не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законодательством Российской Федерации;
  • принимать иные меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовым актами.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящей главе Политики, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

13. Ответы на запросы субъектов ПДн на доступ к персональным данным

Общество осуществляет прием и обработку обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта ПДн. При рассмотрении обращений либо при получении запросов субъектов ПДн Общество руководствуется положениями Закона о персональных данных.

Общество, получив обращение либо запрос субъекта ПДн, содержащие информацию, предусмотренную Законом о персональных данных, убедившись в законности такого обращения либо запроса, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на предоставление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом, предоставляемые Обществом сведения не могут содержать ПДн других субъектов ПДн, исключение составляют случаи, при которых имеются законные основания для раскрытия ПДн других субъектов ПДн.

Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту ПДн или его представителю, в случае наличия у Общества законных оснований.

Процесс обработки запросов субъектов ПДн или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Общества.

14. Порядок вступления в силу, актуализации и размещения настоящей Политики

Настоящая Политика вступает в силу с даты её утверждения Генеральным директором Общества.

Решение об инициировании процесса актуализации или внесения изменений в документ принимает Генеральный директор Общества на основании изменений норм действующего законодательства, регулирующих правоотношения по обработке ПДн, предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов, но не реже одного раза в два года.

Актуальная версия утвержденной Политики размещена на Интернет-портале Общества.