Политика конфиденциальности

ПРИКАЗ № 01/10

Об утверждении

Политики обработки персональных данных

ООО «СмартКард»

г. Санкт-Петербург «01» октября 2023г.

Генеральный директор, Коев В.В.

 

  1. Назначение

Настоящая Политика обработки персональных данных в ООО «СмартКард» (далее –Политика) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции ООО «СмартКард» при обработке персональных данных, права субъектов персональных данных, а также реализуемыетребования к защите персональных данных.

Обработка персональных данных, объем и содержание обрабатываемых персональныхданных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законамии подзаконными актами.

Настоящая Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

Настоящая Политика вводится в действие с даты её утверждения.

 

  1. Общие положения

2.1. Область применения

Настоящая Политика, является общедоступной и подлежит размещению на официальном сайте ООО «СмартКард» — https://smcard.ru

Требования данной Политики распространяются на всех работников ООО «СмартКард».

2.2 Термины и определения

Для целей Политики используются следующие термины и определения:

Общество – Общество с ограниченной ответственностью «СмартКард» (ООО «СмартКард»).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Субъект персональных данных– физическое лицо, которое прямо или косвенно определено, либо определяемо с помощью персональных данных.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Работник – физическое лицо, вступившее в трудовые отношения с ООО «СмартКард».

ФЗ-152 — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

В контексте настоящей Политики Общество является оператором.

2.3. Нормативные ссылки

Настоящая Политика разработана в соответствии с законодательством Российской Федерации о персональных данных, в том числе в соответствии с требованиями следующих федеральных законов Российской Федерации, а также иных нормативно-правовых актоврегулирующих обработку персональных данных:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ.

 

  1. Категории субъектов персональных данных

3.1. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

— работники Общества(физические лица, вступившие в трудовые отношения с ООО «СмартКард»);

— соискатели на вакантные должности Общества;

— работники Общества, с которыми прекращены трудовые отношения;

— родственники работников Общества;

-клиенты Общества, в том числе потенциальные клиенты (физические лица, заключившие с Обществом договоры об оказании услуг);

— представители клиентов Обществом, а также юридических лиц или индивидуальных предпринимателей, заключивших с Обществом договоры об оказании услуг (физические лица, выступающие от лица физических лиц, юридических лиц или индивидуальных предпринимателей на основании доверенности);

— руководители, учредители (акционеры), работники юридических лиц, заключивших с Обществом договоры об оказании услуг, а также юридических лиц, потенциально готовых заключить с Обществом договоры об оказании услуг;

— контрагенты Общества  – физические лица (осуществляющие выполнение работ и (или) оказание услуг на основании договоров с Обществом);

— руководители, учредители, работники контрагентов Общества – юридических лиц или индивидуальных предпринимателей (осуществляющих выполнение работ и (или) оказание услуг на основании договоров с Обществом);

— иные лица, давшие Обществу согласие на обработку своих персональных данных, а также лица, персональные данные которых Общество обрабатывает без согласия субъектов персональных данных в случаях, предусмотренных законодательством Российской Федерации.

  1. Цели обработки персональных данных

4.1.Общество осуществляет обработку персональных данных в различных целях, в зависимости от  процессов и законных оснований обработки. В частности, целями обработки персональных данных Обществом являются, не ограничиваясь:

4.1.1.оформления и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, в том числе:

  • заключения трудового договора и его дальнейшего исполнения;
  • обеспечения выполнения должностных обязанностей;
  • отражения информации в документах, связанных с трудовыми отношениями;
  • содействия при трудоустройстве;
  • обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, обучения и продвижения по работе;
  • начисления заработной платы;
  • осуществления безналичных платежей на личный банковский счет;
  • организации страхования жизни и здоровья работника, а также и членов его семьи, предоставления льгот и компенсаций;
  • исчисления и уплаты налогов, сборов и взносов на обязательное социальное и пенсионное страхование, предусмотренных законодательством Российской Федерации;
  • ведения учета, контроля и отчетности в соответствии законодательством Российской Федерации;
  • оформления доверенностей;
  • осуществления Обществом уставной деятельности.

4.1.2. предоставления услуг связи, исполнения обязательных требований в области связи и лицензионных условий, а также выполнения иных требований законодательства Российской Федерации в области связи и предоставления услуг, неразрывно связанных с услугами связи;

4.1.3. заключения, исполнения, изменения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных действующим законодательством Российской Федерации;

4.1.4.выполнения деятельности, предусмотренной действующим законодательством Российский Федерации,  в том числе Федеральным законом от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

4.1.5.иные цели обработки в соответствии с требованиями законодательства Российской Федерации при обеспечении законного основания обработки персональных данных.

 

  1. Основные принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется на основе следующих принципов:

— обработка персональных данных осуществляется на законной и справедливойоснове;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;

— обработке подлежат только те персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

— обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

  1. Обработка персональных данных

6.1. Обработка персональных данных осуществляется только с согласия субъекта персональных данных (законного представителя субъекта персональных данных) за исключением случаев установленных ФЗ-152, в том числе указанных в п.6.2. настоящей Политики.

6.1.1. Субъект в своей воле и в своих интересах предоставляет Обществу в письменной или иной разрешенной законодательством Российской Федерации форме согласие на обработку своих персональных данных, которые необходимы или желаемы для достижения целей настоящей Политики, в соответствии с законодательством Российской Федерации.

6.1.2. Согласие на обработку персональных данных  может быть отозвано субъектом путем подачи Обществу заявления в простой письменной форме. В случае отзыва субъектом согласия на обработку своих персональных данных Общество обязуется прекратить обработку персональных данных в соответствии с ФЗ-152.

6.1.3. Общество в случае отзыва субъектом согласия на обработку персональных данных  вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в п. 2 – 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ-152.

6.2. Согласие субъекта персональных данных на обработку персональных данных не требуется в следующих случаях если:

6.2.1.Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

6.2.2.Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

6.2.3. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

6.2.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6.2.5. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6.2.6. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

6.2.7. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

6.2.8. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3. Обработка персональных данных осуществляется как автоматизированная, так и без использования средств автоматизации.

6.4. Используемые Обществом формы согласия на обработку персональных данных соответствуют требованиям ФЗ-152.

6.5. Достоверность и актуальность сведений,  предоставляемых субъектом персональных данных проверяется путем сверки с информацией, содержащейся в оригинальных документах или их копиях, заверенных в установленном законодательством Российской Федерации порядке.

6.6.Предоставление доступа к персональным данным представителям органов государственной власти осуществляется в порядке и объеме, установленном законодательством Российской Федерации.

6.7.Хранение персональных данных осуществляется не дольше, чем того требует достижение цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

6.8. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, а также при прекращении законных оснований обработки.

 

  1. Права субъекта персональных данных

7.1. Субъект персональных данных вправе обратиться к Обществу по вопросам обработки персональных данных, используя следующие каналы связи:

-в письменном виде почтой или курьерской службой по адресу: _194156, г.Санкт-Петербург, ул. Сердобольская, дом 1, лит.А, пом. 30-Н, офис № 1.

— по электронной почте: accounting@smcard.ru

7.2. Субъект персональных данных вправе:

7.2.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

  • подтверждение факта обработки персональных данных Обществом;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Обществом способы обработки персональных данных;
  • наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-152;
  • наименование и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Обществом обязанностей по обеспечению соответствия требованиям ФЗ-152;
  • в случае невозможности заключения, исполнения, изменения или расторжения договора с потребителем без предоставления персональных данных — конкретные причины и правовые основания, определяющие невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных;
  • иные сведения, предусмотренные ФЗ-152, или другими федеральными законами.

7.2.2. Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.2.3. Отозвать согласие на обработку персональных данных (при этом Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии иных законных оснований).

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

 

  1. Обязанности Общества как оператора персональных данных

8.1. При обработке персональных данных Общество обязано:

8.1.1. Предоставить субъекту персональных данных  по его просьбе информацию, касающуюся обработки его персональных данных;

8.1.2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, а также последствия отказа в предоставлении согласия на обработку персональных данных;

8.1.3. Предоставить субъекту персональных данных, если персональные данные получены не от субъекта персональных данных, за исключением случаев указанных в п.8.2. настоящей Политики, до начала обработки таких персональных данных, информацию, указанную в пункте 3 статьи 18 ФЗ-152;

8.1.4. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», за исключением случая, указанного в пп.6.2.1. настоящей Политики.

8.2. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в пп.8.1.3. настоящей Политики, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом;
  • персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 ФЗ-152;
  • обработка персональных данных осуществляется для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных сведений, предусмотренных в пп.8.1.3. настоящей Политики, нарушает права и законные интересы третьих лиц.

 

  1. Обеспечение безопасности обработки персональных данных

9.1.В целях обеспечение безопасности обработки персональных данных Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, установленных законодательством Российской Федерации о персональных данных.

9.2. Основными мерами защиты персональных данных, используемыми Обществом, являются:

  • издание Обществом документов, определяющих политику Общества в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • назначение ответственного за организацию обработки персональных данных;
  • ознакомления работников, допущенных к обработке персональных данных, с требованиями, установленными действующим законодательством Российской Федерации в области персональных данных, настоящей Политикой, а также локальными нормативными актами Общества, а также обучение безопасной работе со средствами вычислительной техники;
  • организации доступа работников к информации, содержащей персональные данные, в соответствии с их должностными (функциональными) обязанностями;
  • организация режима обеспечения физической безопасности помещений, носителей информации и оборудования;
  • осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества.
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • обеспечение возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • осуществление периодического контроля достаточности и полноты реализации защитных мер;
  • обеспечение антивирусной защиты;
  • учет машинных носителей персональных данных.

9.3.Меры по обеспечению безопасности персональных данных при их обработке устанавливаются в соответствии с требованиями законодательства Российской Федерации о защите персональных данных, разрабатываемыми Обществом моделями угроз для информационных систем персональных данных, а также локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных.

 

  1. Заключительные положения

10.1. Контроль за соблюдением исполнения требований настоящей Политики возлагается на ответственного за организацию обработки персональных данных.

10.2. Общество и его работники несут установленную законодательством Российской Федерации ответственность за нарушение ФЗ-152.