Политика конфиденциальности

  1. Общие положения

1.1. Оператор: Общество с ограниченной ответственностью «Первый шаг» (ИНН: 5040190043, ОГРН: 1245000034344), юр. адрес: 140103, Московская область, Раменский р-н, д Дергаево, Ленинская ул, д. 43а, контактный адрес электронной почты: doctor@n-help.ru.

1.2. Персональные данные (ПДн): любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

1.4. Настоящая Политика распространяется на все процессы обработки ПДн, осуществляемые Оператором, как с использованием средств автоматизации (в информационных системах персональных данных – ИСПДн), так и без использования таких средств.

1.5. Настоящая Политика является общедоступным документом и опубликована на сайте Оператора.

  1. Цели и принципы обработки ПДн

2.1. Обработка ПДн Оператором осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.

2.2. Цели сбора и обработки ПДн:

  1. Ведение кадрового и бухгалтерского учета.
  2. Продвижение товаров, работ, услуг на рынке.

2.3. Принципы обработки ПДн:

  • Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
  • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки и не должны быть избыточными.
  • Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
  • Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

  1. Правовые основания обработки ПДн

Правовым основанием обработки ПДн является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПДн:

  1. Согласие субъекта персональных данных на обработку его ПДн.
  2. Обработка необходима для исполнения обязанностей, предусмотренных законодательством Российской Федерации (Трудовой кодекс РФ, Налоговый кодекс РФ, Федеральный закон «О бухгалтерском учете» и др.).
  3. Обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн.
  4. Обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц (в частности, в целях обеспечения безопасности).

 

  1. Категории субъектов, ПДн которых обрабатываются Оператором

Оператор обрабатывает персональные данные следующих категорий субъектов:

Цель 1 — Кадровый и бухгалтерский учет:

  • Работники
  • Соискатели
  • Родственники работников
  • Уволенные работники

Цель 2 — Продвижение товаров, работ, услуг:

  • Клиенты
  • Посетители сайта.

 

  1. Перечень ПДн, обрабатываемых Оператором

Оператор осуществляет обработку следующих категорий ПДн:

  1. Для цели «Кадровый и бухгалтерский учет»: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, иные персональные данные (указывается конкретная категория),сведения об образовании, сведения о состоянии здоровья, сведения о судимости, данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, фото-видео изображение лица.
  2. Для цели «Продвижение товаров, работ, услуг на рынке»: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, номер телефона, СНИЛС, данные документа, удостоверяющего личность, иные персональные данные (указывается конкретная категория),сведения о состоянии здоровья, данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, фото-видео изображение лица.

   

  1. Трансграничная передача ПДн

6.1. Трансграничная передача персональных данных (передача ПДн на территорию иностранного государства) Оператором не осуществляется.

6.2. В случае возникновения намерения осуществить трансграничную передачу, Оператор обязуется соблюдать требования статьи 12 152-ФЗ и подзаконных актов.

  1. Перечень действий, совершаемых Оператором с ПДн и способы их обработки

7.1. Оператор совершает следующие действия (операции) с персональными данными: Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Удаление, Уничтожение.

7.2. Применяемые Оператором способы обработки:

  1. Автоматизированная обработка: Обработка ПДн с помощью средств вычислительной техники (в ИСПДн).
  2. Неавтоматизированная обработка: Обработка ПДн при непосредственном участии человека.

 

  1. Сроки обработки ПДн

8.1. Сроки обработки ПДн определяются достижением целей обработки ПДн.

8.2. Хранение ПДн осуществляется не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.

8.3. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые ПДн подлежат уничтожению либо обезличиванию.

  1. Условия обработки ПДн

9.1. Согласие на продвижение товаров/услуг: Обработка ПДн в целях продвижения товаров, работ, услуг на рынке допускается только при условии предварительного согласия субъекта ПДн (клиента, посетителя сайта). Молчание или бездействие субъекта ПДн не может считаться согласием на обработку ПДн, разрешенных для распространения.

9.2. Согласие на специальные/биометрические данные: Обработка сведений о состоянии здоровья и биометрических ПДн осуществляется только при наличии согласия в письменной форме субъекта ПДн.

9.3. Раздельное хранение: При обработке ПДн без использования средств автоматизации должно обеспечиваться раздельное хранение материальных носителей, обработка которых осуществляется в различных, заведомо несовместимых целях.

9.4. Оценка вреда: Оператором проведена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства.

  1. Права и обязанности субъектов ПДн

Субъект ПДн имеет право на:

10.1. Получение информации, касающейся обработки его ПДн, включая подтверждение факта обработки, правовые основания и цели обработки, сроки обработки и хранения. Сведения предоставляются в течение 10 рабочих дней с момента обращения (с возможностью продления на 5 рабочих дней).

10.2. Уточнение, блокирование, уничтожение: право требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

10.3. Отзыв согласия: право отозвать свое согласие на обработку ПДн.

10.4. Прекращение обработки в целях продвижения: право требовать от Оператора немедленного прекращения обработки его ПДн, если она осуществляется в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

  1. Обеспечение защиты ПДн при их обработке Оператором

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

11.1. Организационные меры (в соответствии со статьей 18.1 152-ФЗ):

— Назначено лицо, ответственное за организацию обработки персональных данных.

— Изданы документы (локальные акты), определяющие политику Оператора в отношении обработки ПДн и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства (включая Положение об обработке и защите ПДн).

— Осуществляется внутренний контроль соответствия обработки ПДн законодательству РФ.

— Проведена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ (п. 5 ч. 1 ст. 18.1 152-ФЗ).

— Работники, непосредственно осуществляющие обработку ПДн, ознакомлены с законодательством и локальными актами Оператора под роспись.

— Утвержден перечень лиц, допущенных к обработке ПДн.

11.2. Технические и организационные меры (в соответствии со статьей 19 152-ФЗ):

  • Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
  • Осуществлена оценка эффективности принимаемых мер по обеспечению безопасности ПДн.
  • Обеспечен режим обеспечения безопасности помещений, препятствующий неконтролируемому проникновению.
  • Применяются организационные и технические меры, необходимые для выполнения требований к защите ПДн, обеспечивающие установленные Правительством РФ уровни защищенности ПДн.
  • Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечена регистрация и учет всех действий, совершаемых с ПДн.
  • Проводится контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн не реже 1 раза в 3 года.
  • Применяются такие меры, как идентификация и аутентификация субъектов доступа, управление доступом, ограничение программной среды, защита машинных носителей информации.
  • Обеспечена сохранность носителей персональных данных и учет машинных носителей.

  1. Актуализация, исправление, удаление, уничтожение ПДн

12.1. В случае подтверждения факта неточности или неполноты ПДн, Оператор обязан уточнить ПДн или обеспечить их уточнение в течение семи рабочих дней со дня представления субъектом ПДн соответствующих сведений, и снять блокирование ПДн.

12.2. В случае выявления неправомерной обработки, Оператор обязан прекратить ее в срок, не превышающий трех рабочих дней с даты этого выявления. Если обеспечить правомерность обработки невозможно, Оператор обязан уничтожить такие ПДн в срок, не превышающий десяти рабочих дней с даты выявления.

12.3. В случае достижения цели обработки или отзыва субъектом согласия, Оператор обязан уничтожить ПДн в срок, не превышающий тридцати дней с даты достижения цели или получения отзыва. Если субъект требует прекратить обработку, Оператор обязан прекратить ее в срок, не превышающий десяти рабочих дней.

12.4. Факт уничтожения ПДн подтверждается актом об уничтожении персональных данных. При обработке с использованием средств автоматизации также оформляется выгрузка из журнала регистрации событий в ИСПДн.

  1. Реагирование на запросы субъектов ПДн

13.1. Оператор обязан сообщить субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к нему, а также предоставить возможность ознакомления с этими данными в течение десяти рабочих дней с момента обращения или получения запроса.

13.2. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления Оператором мотивированного уведомления субъекту ПДн с указанием причин продления срока.

13.3. Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором, либо иные сведения, подтверждающие факт обработки ПДн Оператором, а также подпись субъекта ПДн.

13.4. В случае отказа в предоставлении информации или доступа к ПДн, Оператор обязан дать мотивированный ответ в письменной форме в срок, не превышающий десяти рабочих дней, со ссылкой на положения законодательства, являющиеся основанием для отказа.