1. Общие положения

1.1. Политика обработки персональных данных в ООО «ВЦ ЭЛИАС» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «ВЦ ЭЛИАС» (далее – Оператор или Компания) персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.

1.4. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора по адресу: https://elias.ru.

1.5. В Политике используются следующие понятия:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Права и обязанности Оператора персональных данных

2.1. Оператор имеет право:

• получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ или другими федеральными законами.

2.2. Оператор обязан:

• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона № 152-ФЗ;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
• публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
• принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Федеральным законом № 152-ФЗ;
• исполнять иные обязанности, предусмотренные Федеральным законом № 152-ФЗ о персональных данных.

3. Основные права субъекта персональных данных

3.1. Субъекты персональных данных имеют право на:

• информацию, касающуюся обработки Оператором их персональных данных, в том числе: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; иные сведения, предусмотренные требованиями законодательства Российской Федерации;
• доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
• уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку персональных данных;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• осуществление иных прав, предусмотренных законодательством Российской Федерации.

4. Цели сбора персональных данных

4.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

• ведение кадрового и бухгалтерского учета;
• обеспечение соблюдения трудового законодательства РФ;
• ведение договорной работы с контрагентами;
• обеспечение соблюдения налогового законодательства РФ;
• обеспечение соблюдения пенсионного законодательства РФ;
• обеспечение соблюдения законодательства о социальном страховании;
• обеспечение соблюдения законодательства РФ об обороне;
• продвижение товаров, работ, услуг на рынке, в том числе осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений маркетингового характера;
• обработка заявок и обращений, поступающих через формы обратной связи на сайте Оператора.

4.2. В случаях обработки персональных данных, не предусмотренных действующим законодательством или договором с субъектом явно, такая обработка осуществляется после получения согласия субъекта персональных данных.

4.3. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором на основании полученного согласия субъекта персональных данных на обработку его персональных данных.

5. Объем и категории обрабатываемых персональных данных

5.1. К категориям субъектов персональных данных, чьи данные обрабатываются ООО «ВЦ ЭЛИАС», относятся:

• физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с Оператором (работники, уволенные работники), их ближайшие родственники;
• лица, являющиеся контрагентами, либо представителями контрагентов Оператора;
• лица, являющиеся клиентами Оператора;
• посетители и пользователи сайта Оператора.

5.2. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:

• личная информация (фамилия, имя, отчество; пол; год, месяц, дата рождения; место рождения; гражданство);
• контактная информация (почтовый адрес, номера телефонов, адреса электронной почты; адреса регистрации и фактического проживания);
• сведения о документах, удостоверяющих личность; идентификационные номера субъекта в государственных системах учета (ИНН, СНИЛС и др.);
• профессиональная деятельность (должность, структурное подразделение, табельный номер, стаж, сведения о трудовой деятельности);
• навыки и квалификация (полученное образование, профессия, присвоенные специальности, сведения о повышении квалификации и профессиональной переподготовке);
• сведения о семье (семейное положение, состав семьи, степень родства, данные ближайших родственников);
• финансовое состояние: платежные реквизиты, доходы, сведения о налоговых и иных отчислениях, реквизиты банковской карты, номер расчетного и лицевого счета;
• сведения о воинском учете;
• сведения о состоянии здоровья, о нетрудоспособности (содержащиеся в листках нетрудоспособности);
• сведения о наградах (поощрениях), почетных званиях;
• электронные пользовательские данные (файлы cookies, IP-адрес, сведения о действиях пользователей сайта, сведения об оборудовании и браузере, дата и время сессии, реферер, страна, город, регион);
• иные сведения, предусмотренные типовыми формами, установленным порядком и целями обработки.

6. Обработка электронных пользовательских данных

6.1. Оператор в целях обработки персональных данных, установленных настоящей Политикой, может собирать электронные пользовательские данные, в том числе cookies, на своем сайте автоматически без участия пользователя и совершения действий по отправке данных.

6.2. Посетителям и пользователям сайта Оператора могут показываться всплывающие уведомления о сборе и обработке данных cookies с ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.

6.3. Такие уведомления означают, что при посещении и использовании сайта Оператора в браузер на устройстве пользователя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя. Такая информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого она была сохранена, вместе с этим запросом для обработки на стороне Оператора.

6.4. Нажатие пользователем кнопки принятия условий обработки cookies либо закрытие всплывающего уведомления расценивается как согласие на обработку данных cookies на сайте Оператора.

6.5. Кроме обработки данных cookies сайтом Оператора, пользователям и посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайте Оператора используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов. К таким случаям может относиться размещение на сайте:

• счетчиков посещений, аналитических и статистических сервисов (например, Яндекс.Метрика);
• виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций с пользователями;
• систем контекстной рекламы, баннерных и иных маркетинговых сетей;
• иных сторонних компонент, используемых Оператором на своем сайте.

7. Правовые основания обработки персональных данных

7.1. Правовыми основаниями, на основе которых Оператор осуществляет обработку персональных данных, являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Устав ООО «ВЦ ЭЛИАС»;
• договоры и соглашения ООО «ВЦ ЭЛИАС»;
• согласия субъектов персональных данных на обработку их персональных данных.

8. Порядок и условия обработки персональных данных

8.1. Оператор получает персональные данные непосредственно от субъектов персональных данных. Оператор вправе получать персональные данные от третьих лиц только при наличии письменного согласия субъекта персональных данных или в иных случаях, прямо предусмотренных в законодательстве.

8.2. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение персональных данных.

8.3. Обработка персональных данных ведется смешанным способом: с использованием средств автоматизации и без использования средств автоматизации. Передача персональных данных может осуществляться по внутренней сети юридического лица и по сети Интернет.

8.4. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Не допускается объединение баз персональных данных, относящихся к разным целям обработки.

8.5. В случаях использования сторонних услуг, вычислительных ресурсов, приложений и инфраструктуры для обработки персональных данных Оператор может привлекать сторонние организации к обработке персональных данных в качестве субподрядчиков при условии соблюдения принципов обработки и наличия с ними соответствующего договора или соглашения.

8.6. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.

8.7. Трансграничная передача персональных данных не осуществляется.

9. Меры, принимаемые Оператором для обеспечения защиты персональных данных

9.1. В соответствии со статьями 18.1 и 19 Федерального закона № 152-ФЗ Оператор принимает следующие меры для обеспечения конфиденциальности обрабатываемых персональных данных:

• назначение лица, ответственного за организацию обработки персональных данных в ООО «ВЦ ЭЛИАС» (Орехов Игорь Евгеньевич);
• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер в соответствии с Регламентом реагирования на инциденты информационной безопасности;
• организация обучения работников Оператора, допущенных к работе с персональными данными;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
• хранение материальных носителей персональных данных в запирающихся шкафах и сейфах;
• оборудование помещений, в которых проводится обработка персональных данных, запирающимися дверьми и пожарной сигнализацией;
• ведение видеонаблюдения по периметру здания и внутри организации;
• организация системы контроля и управления доступом на территорию организации;
• использование авторизации и аутентификации с помощью Active Directory, резервного копирования, а также антивирусного программного обеспечения;
• использование сертифицированных средств криптографической защиты информации (КриптоПро CSP 5.0, класс СКЗИ: КС1);
• установление правил доступа к персональным данным, обеспечение регистрации и учета всех действий пользователей;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов

10.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса.

10.2. Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись субъекта персональных данных или его представителя.

10.3. Запрос может быть оформлен в бумажном виде и представлен лично либо отправлен почтовым отправлением по адресу: 127276, г. Москва, Марфинский проезд, дом 4, помещ. 21, эт. 2, а также может быть направлен в форме электронного документа на адрес электронной почты: mail@elias.ru.

10.4. Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения в соответствии с требованиями Федерального закона № 152-ФЗ или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

10.5. В случае подтверждения факта неточности персональных данных Оператор уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

10.6. При выявлении неправомерной обработки персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных с момента такого обращения или получения запроса.

10.7. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий:

• достижение целей обработки персональных данных или максимальных сроков хранения – в течение 30 дней;
• утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
• предоставление субъектом подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
• невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
• отзыв субъектом персональных данных согласия на обработку, если сохранение персональных данных более не требуется для целей обработки – в течение 30 дней;
• требование субъекта персональных данных о прекращении обработки – в течение 10 дней.

Факт уничтожения персональных данных подтверждается документально актом об уничтожении.

11. Сведения об Операторе

12. Опубликование и актуализация Политики

12.1. Политика является общедоступным документом ООО «ВЦ ЭЛИАС» и предусматривает возможность ознакомления любых лиц с ее действующей версией путем опубликования в сети Интернет по адресу: https://elias.ru.

12.2. Политика действует бессрочно после утверждения и до ее замены новой версией. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.