ПОЛОЖЕНИЕ (ПОЛИТИКА) ООО «СОТЕРРА ИНЖИНИРИНГ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Назначение и область применения

1.1. Настоящее положение общества с ограниченной ответственностью «Сотерра Инжиниринг» (далее по тексту – Общество ) в отношении обработки персональных данных (далее - Политика) разработано в целях реализации требований Федерального закона от «27» июля 2006 года № 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые Общество получает от субъектов персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Обществе после утверждения настоящей Политики.

1.3. Общество публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет» по адресу: https://soterra.ru/.

1.4. Контроль за исполнением требований настоящей Политики всеми сотрудниками Общества осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Обществе.

2. Цели обработки персональных данных, состав обрабатываемых персональных данных и категории субъектов, персональные данные которых обрабатываются

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее - субъект персональных данных).

2.2. Персональные данные обрабатываются в Обществе в следующих целях и в следующем составе:

2.2.1. в целях ведения кадрового и бухгалтерского учета следующие персональные данные работников, уволенных работников, родственников работников, кандидаты на замещение вакантных должностей, студентов, законных представителей: фамилия, имя, отчество, дата, месяц и год рождения, место рождения, семейное положение, социальное положение, пол, доходы, адрес электронной почты, адрес места жительства и/или регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного и/или лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации, об аттестации, повышении квалификации, профессиональной переподготовке, наградах, поощрениях, отпусках), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображения лица, иные.

2.2.2. в целях подготовки, заключения и исполнения гражданско-правовых договоров следующие персональные данные контрагентов, представителей контрагентов, посетителей сайта: фамилия, имя, отчество, дата, месяц и год рождения, место рождения, пол, адрес электронной почты, адрес места жительства и/или регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного и/или лицевого счета.

2.2.3. в целях исполнения судебных актов следующие персональные данные взыскателей-физических лиц: фамилия, имя, отчество, дата, месяц и год рождения, место рождения, пол, адрес электронной почты, адрес места жительства и/или регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, реквизиты банковской карты, номер расчетного и/или лицевого счета.

2.2.4 в иных целях обрабатываются персональные данные иных категорий субъектов персональных данных на основании предоставленного таким субъектом согласия на обработку персональных данных.

2.3. Общество не осуществляет обработку специальных категорий и биометрических персональных данных. 

3. Принципы обработки персональных данных

3.1. Обработка персональных данных в Обществе осуществляется на основе принципов:

• - законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• - соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;
• - хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• - уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

4. Права субъекта персональных данных.

4.1. Субъект персональных данных вправе:

• - получать информацию, касающуюся обработки его персональных данных в Обществе, в том числе и об источниках их получения;
• - требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• - требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• - обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества в качестве оператора персональных данных при обработке его персональных данных;
• - отозвать свое согласие на обработку персональных данных;
• - на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.2. Субъект персональных данных имеет иные права, предоставленные ему законодательством Российской Федерации.

5. Порядок обработки персональных данных

5.1 Обработка персональных данных в Обществе производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Общества работниками Общества.

5.2. Обработка персональных данных в Обществе включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), уничтожение персональных данных.

5.3. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

• получения оригиналов необходимых документов;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• формирования персональных данных в ходе кадровой работы;
• внесения персональных данных в информационные системы.

5.4. Персональные данные получаются Обществом от субъекта персональных данных.

5.5. Общество имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.

5.6. В Обществе используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных:

• - корпоративная электронная почта;
• - система электронного документооборота;
• - система электронного бухгалтерского, налогового и кадрового учета;
• - система поддержки рабочего места пользователя;
• - система контроля удаленным доступом;
• - корпоративные сайты и информационные порталы.

5.7. Условия обработки персональных данных в Обществе:

• - доступ к персональным данным имеют работники Общества, которым это необходимо для исполнения должностных обязанностей;
• - доступ к персональным данным предоставляется работникам только после ознакомления с настоящим Положением и предоставления работником обязательства о неразглашении персональных данных. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом генерального директора Общества.

5.8. При передаче персональных данных субъекта персональных данных, работники Общества, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

• - не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
• - не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
• - предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;
• - разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом генерального директора Общества, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
• - не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключение тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции;
• - передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
• - передача Обществом персональных данных или ее представителей третьим лицам может допускаться только в случаях, установленных федеральным законом.

5.9. Общество при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки.

5.10. В случае выявления неправомерной обработки персональных данных в Обществе в срок, не превышающий трех рабочих дней с даты этого выявления, в Обществе прекращают неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.

5.11. Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.

5.12. По достижении цели обработки персональных данных в Обществе обработка персональных данных прекращается и эти персональные данные уничтожаются. Исключения: персональные данные должны храниться длительное время в силу требований нормативных правовых актов.

5.13. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Обществе прекращают их обработку в срок, не превышающий тридцати дней с даты, поступления отзыва. При этом Общество вправе осуществлять обработку персональных данных в случаях, предусмотренных Федеральным законом от «27» июля 2006 года № 152-ФЗ «О персональных данных».

5.14. Общество по запросу субъекта персональных данных или его представителя сообщает информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Общество знакомит субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты, получения запроса.

6. Обеспечение безопасности персональных данных

6.1. При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры или обеспечивают их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

6.2. Хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.

6.3. В Обществе назначается лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

• 1) осуществлять внутренний контроль за соблюдением в Обществе законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

7. Заключительные положения

7.1. Персональные данные обрабатываются Обществом без ограничения по сроку.

7.2. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.