1.ОБЩИЕ ПОЛОЖЕНИЯ
1.1.Настоящая Политика обработки и защиты персональных данных(далее – «Политика») оператора персональных данных – Общества с ограниченной ответственностью «ЮНИРЕСТ» (далее – «Компания»), место нахождения: 125130, Россия, г. Москва, Старопетровский проезд, д.11, к. 1, этаж 3, (помещение Х), определяет основные принципы, порядок и условия обработки персональных данных (далее – «ПДн»), требования к защите ПДн, а также основные права и обязанности субъектов ПДн и оператора ПДн.
1.2.Настоящая Политика является основным руководящим локальным нормативным актом Компании, определяющим требования в отношении обработки и защиты ПДн.
2.ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.Обработка ПДн Компанией осуществляется в соответствии с принципами:
− законности и справедливости целей и способов обработки ПДн; − ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
− недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
− соответствия объема и содержания обрабатываемых ПДн целям обработки ПДн;
− недопустимости обработки ПДн, которая может быть несовместима с целями сбора ПДн;
− обеспечения точности ПДн, их достаточности, а в необходимых случаях актуальности ПДн для целей их обработки;
− хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.
3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.Компания осуществляет обработку ПДн в следующих целях:
− исполнения прав и обязанностей сторон трудовых отношений в соответствии с трудовым законодательством;
− информационного обеспечения трудовой деятельности;
− ведения маркетинговых и социальных активностей, а также коммуникации с работниками;
− обеспечения организации и реализации единых внутригрупповых бизнес-процессов группы компаний и компаний-франчайзи;
− содействия в трудоустройстве;
− содействия в трудоустройстве в других юридических лицах;
− исполнения обязанностей, возложенных на оператора действующим трудовым законодательством;
− предоставления добровольного медицинского страхования;
− связи в экстренных ситуациях;
− организации командировок и иных поездок, в том числе оформления миграционных документов;
− заключения и исполнения договоров;
− организации и проведения внешнего аудита сторонними компаниями;
− ведения маркетинговых и социальных активностей, а также коммуникации с работниками компаний-франчайзи;
− организации и осуществления взаимодействия между Компанией и потребителем (физическим лицом – получателем услуг и товаров Компании);
− проведения акций;
− мониторинга активности и ее аналитики;
− мониторинга и работы с обратной связью;
− проведения рекламных, маркетинговых и информационных кампаний;
− предоставления услуг связи;
− в иных целях, связанных с необходимостью исполнения взаимных прав и обязанностей Компании и субъектов ПДн, а также, если это необходимо для соблюдения законодательства Российской Федерации.
4.ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.Правовыми основаниями для обработки ПДн являются, в том числе:
− Гражданский кодекс Российской Федерации;
− Трудовой кодекс Российской Федерации;
− Налоговый кодекс Российской Федерации;
− Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
− Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
− Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
− Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
− Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
− Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
− Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
− Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
− «Основы законодательства Российской Федерации о нотариате» от 11.02.1993 № 4462-1;
− Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации»;
− Федеральный закон Российской Федерации от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
− Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
− Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
− Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
− Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;
− Постановление Правительства РФ от 15.08.1997 № 1036 «Об утверждении Правил оказания услуг общественного питания»;
− иные нормативно-правовые акты Российской Федерации, на основании которых обрабатываются ПДн;
− Устав Компании;
− Договоры, заключаемые между Компанией и ее контрагентами;
− Договоры, заключаемые с субъектами ПДн;
− Согласия субъектов ПДн.
5.ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
5.1.В Компании обработка ПДн осуществляется в отношении следующих категорий субъектов ПДн:
− работников;
− кандидатов;
− родственников работников;
− работников группы компаний;
− контрагентов - физических лиц;
− представителей контрагентов - юридических лиц;
− исполнителей (актеров) агентств;
− исполнителей (курьеров) по договорам доставки;
− проверяемых лиц контрагентов – юридических лиц, акционеров компаний-франчайзи;
− работников агентств;
− работников компаний-франчайзи;
− потребителей;
− участников акций и их законных представителей;
− пользователей социальных сетей;
− посетителей сайтов;
− пользователей Wi-Fi;
− иных субъектов, взаимодействие которых с Компанией создает необходимость обработки ПДн.
5.2.Содержание и объем ПДн каждой категории субъектов ПДн определяется необходимостью достижения конкретных целей их обработки, необходимостью Компании реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта ПДн.
6.ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Обработка Компанией ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн.
6.2.Обработка ПДн осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе с использованием внутренней корпоративной сети и сети Интернет.
6.3.Источником информации обо всех ПДн является непосредственно субъект ПДн. Если иное не установлено законодательством Российской Федерации, Компания вправе получать ПДн субъекта ПДн от третьих лиц, но субъект ПДн должен быть уведомлен об этом.
6.4.Компания может осуществлять передачу ПДн субъектов ПДн третьим лицам, включая трансграничную передачу ПДн на территории иностранных государств, в том числе, не обеспечивающих адекватную защиту прав субъектов ПДн, при условии соблюдения требований, предусмотренных законодательством Российской Федерации.
6.5.Компания вправе поручить обработку ПДн другому лицу с согласия соответствующего субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручения на обработку ПДн). Лицо, осуществляющее обработку ПДн по поручению, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации.
6.6.В поручении на обработку ПДн Компанией указываются цели обработки и перечень действий (операций) с ПДн, которые могут быть совершены лицом, осуществляющим обработку ПДн по поручению, устанавливаются его обязанности по обеспечению конфиденциальности и безопасности ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии с законодательством Российской Федерации.
6.7.При обработке ПДн в Компании соблюдаются условия, обеспечивающие сохранность и конфиденциальность ПДн.
6.8.Компания предпринимает необходимые технические и организационные меры в соответствии с законодательством Российской Федерации в области ПДн с целью обеспечения их защиты от несанкционированного доступа, изменения, раскрытия или уничтожения.
6.9.Работники Компании, а также иные лица, получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности обрабатываемых ПДн.
6.10.Хранение ПДн осуществляется в форме, позволяющей идентифицировать субъекта ПД, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
6.11.Уничтожение ПДн производится после достижения целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПДн, установленного федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
7.АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.Компания предпринимает разумные меры для поддержания точности и актуальности обрабатываемых ПДн, а также их удаления в случаях, если они признаются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.
7.2.В случае обнаружения факта неточности ПДн или неправомерности их обработки, Компания обязана провести актуализацию или прекратить их обработку.
7.3.Обработка ПДн прекращается Компанией в следующем порядке и сроки (если иное не предусмотрено законодательством Российской Федерации):
− при выявлении неправомерных действий с ПДн в срок, не превышающий трех рабочих дней с даты такого выявления, Компания устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Компания уведомляет субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов ПДн, также этот орган;
− при достижении цели обработки ПДн Компания прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПДн;
− при отзыве субъектом ПДн согласия на обработку своих ПДн Компания прекращает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва.
7.4.В случае отсутствия возможности уничтожения ПДн в течение указанных сроков Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование и затем обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
7.5.Уничтожение ПДн должно производиться способом, исключающим дальнейшую обработку этих ПДн.
8.ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.Субъект ПДн имеет право на получение информации, касающейся обработки Компанией его ПДн, в том числе содержащей:
− подтверждение факта обработки ПДн;
− правовые основания и цели обработки ПДн;
− цели и применяемые Компанией способы обработки ПДн;
− наименование и местонахождение Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
− перечень обрабатываемых ПДн субъекта ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
− сроки обработки ПДн, в том числе сроки их хранения;
− порядок осуществления субъектом ПДн прав, предусмотренных законодательством в области ПДн;
− информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
− наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
− иные сведения, предусмотренные законодательством в области ПДн.
8.2.Субъект ПДн вправе требовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3.Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований законодательства, субъект ПДн вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
8.4.Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами Российской Федерации.
8.5.Субъект ПДн обязан:
− предоставлять Компании достоверные ПДн;
− своевременно сообщать Компании об изменениях и дополнениях своих ПДн;
− осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты ПДн;
− исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты ПДн.
9.ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ
9.1.При осуществлении обработки ПДн Компания вправе:
− устанавливать правила обработки ПДн в Компании, вносить изменения и дополнения в локальные нормативные акты, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора ПДн;
− осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Компании в области обработки и защиты ПДн.
9.2.При осуществлении обработки ПДн Компания обязана:
− обеспечивать обработку ПДн исключительно в целях, для которых был осуществлен сбор ПДн;
− получать от субъекта ПДн согласие на обработку его ПДн, в том числе в письменной форме, в случаях, установленных законодательством;
− защищать ПДн от их неправомерного использования или утраты;
− исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Компании в области обработки и защиты ПДн.
10.ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1.Компания предоставляет субъекту ПДн ответ на запрос о получении информации, касающейся обработки его ПДн, на основании соответствующего письменного заявления субъекта ПДн.
10.2.Адрес для обращений субъектов ПДн в Компанию по вопросам обработки ПДн:
− 125130, г. Москва, Старопетровский проезд, д. 11, к. 1.