Политика обработки и защиты персональных данных АО «СЗ «Инкост»

Содержание

  1. Общие положения
  2. Цели обработки персональных данных
  3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных и сроки обработки персональных данных
  4. Основные права и обязанности Оператора персональных данных
  5. Основные права и обязанности субъекта персональных данных
  6. Принципы и условия обработки и хранения персональных данных
  7. Обеспечение выполнения обязанностей Оператора и мер по защите персональных данных
  8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
  9. Заключительные положения

1. Общие положения

1.1. Политика обработки и защиты персональных данных (далее – Политика) разработана Акционерным обществом «Специализированный застройщик «Инкост», являющимся оператором персональных данных (далее – Оператор, АО «СЗ «Инкост»). Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав и свобод субъектов персональных данных при обработке их персональных данных. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.2. Политика регламентируется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и иными федеральными законами и нормативно-правовыми актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации.

1.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками Оператора, осуществляющими обработку персональных данных, в т.ч. работающих в обособленных подразделениях Оператора.

1.4. Положения настоящей Политики являются основой для организации работы по обработке персональных данных у Оператора, в том числе для разработки внутренних нормативных документов, регламентирующих обработку и защиту персональных данных у Оператора.

1.5. В случае, если отдельные положения настоящей Политики войдут в противоречие с действующим законодательством о персональных данных, применяются положения действующего законодательства.

1.6. Запросы субъектов персональных данных в отношении обработки их персональных данных Оператором принимаются по адресу: г. Чебоксары, Марпосадское ш., 38.

1.7. Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика, в частности, опубликована на официальном сайте Оператора по следующему адресу: https://incost.su/, https://новыйгород21.рф/, https://incost-okna.ru/, https://dom-incost.ru/, https://incost-dom.ru/, https://lift-incost.ru/, https://incost-beton.ru/, https://flagman21.ru/, https://time21.ru/, https://incost-avto.ru/, инвалидные-подъемники.рф, а также подлежит ознакомлению всеми работниками АО «СЗ «Инкост» под личную подпись.

1.8. Основные понятия, используемые в Политике:

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

1.9. В Политике не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.

1.10. Целями Политики являются:

  • обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных;
  • исключение несанкционированных действий работников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных;
  • защита конституционных прав граждан на конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности персональных данных.

2. Цели обработки персональных данных

2.1. Оператор собирает и обрабатывает персональные данные в целях осуществления своей деятельности согласно законодательству Российской Федерации и Уставу общества, в том числе в целях:

  • оформления трудовых отношений, ведения кадрового делопроизводства, бухгалтерского учета, содействия в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гарантиями, контроля количества и качества выполняемой работы и сохранности имущества;
  • привлечения и отбора кандидатов на работу у Оператора;
  • исполнения обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе связанных с представлением персональных данных в налоговые органы, Социальный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования, военные комиссариаты, а также в иные государственные органы;
  • заключения, исполнения и прекращения гражданско-правовых договоров;
  • содействия работникам в получении образования;
  • обеспечения личной безопасности и защиты жизни и здоровья работников Оператора, а также предотвращения имущественного вреда (в том числе посредством организации пропускного и внутриобъектового режимов на объектах Оператора);
  • проверки контрагентов в соответствии с процедурой, принятой в АО «СЗ «Инкост», поддержания деловых отношений с контрагентами;
  • подготовки доверенностей, выдаваемых работникам АО «СЗ «Инкост», работникам иных организаций и физическим лицам;
  • выполнения требований действующего законодательства;
  • предоставления услуг и любой связанной с ними технической поддержки клиенту;
  • в иных случаях, установленных в законе, в Уставе АО «СЗ «Инкост».

2.2. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.

2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных и сроки обработки персональных данных

3.1. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:

3.1.1. Работники АО «СЗ «Инкост», бывшие работники, родственники работников, кандидаты на трудоустройство и стажеры.

3.1.2. Клиенты и контрагенты АО «СЗ «Инкост» (юридические и физические лица).

3.1.3. Представители/работники клиентов и контрагентов АО «СЗ «Инкост» (юридических лиц).

3.1.4. Посетители сайта.

3.2. В отношении категории, указанной в пункте 3.1.1 (за исключением членов семьи работников), обрабатываются:

  • фамилия, имя, отчество;
  • дата, месяц, год и место рождения;
  • семейное положение, наличие детей;
  • сведения о доходах;
  • пол;
  • адреса места жительства и регистрации;
  • контактный телефон, адрес электронной почты;
  • данные страхового свидетельства государственного пенсионного страхования;
  • идентификационный номер налогоплательщика;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • сведения о водительском удостоверении;
  • реквизиты банковской карты и номер расчетного счета;
  • профессия, должность;
  • сведения об образовании;
  • сведения о трудовой деятельности, в том числе стаж работы;
  • отношение к воинской обязанности, сведения о воинском учете;
  • сведения о повышении квалификации, о профессиональной переподготовке;
  • сведения о социальных гарантиях;
  • сведения о состоянии здоровья, влияющие на выполнение трудовой функции;
  • фото-видео изображение лица;
  • электронная подпись.

3.3. Персональные данные родственников работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • данные документа, удостоверяющего личность;
  • серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;
  • серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.

3.4. В отношении категории, указанной в пункте 3.1.2, обрабатываются:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адреса места жительства и регистрации;
  • контактный телефон, адрес электронной почты;
  • идентификационный номер налогоплательщика;
  • данные страхового свидетельства государственного пенсионного страхования;
  • реквизиты банковской карты и номер расчетного счета;
  • данные документа, удостоверяющего личность.

3.5. В отношении законных представителей или представителей по доверенности указанных лиц обрабатываются:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адреса места жительства и регистрации;
  • контактный телефон, адрес электронной почты;
  • данные документа, удостоверяющего личность;
  • сведения о документе, который подтверждает полномочия представителя.

3.6. В отношении представителей/работников клиентов и контрагентов АО «СЗ «Инкост» (юридических лиц) обрабатываются:

  • фамилия, имя, отчество;
  • данные документа, удостоверяющего личность;
  • контактный телефон, адрес электронной почты;
  • должность.

3.7. В отношении посетителей сайта АО «СЗ «Инкост» обрабатываются:

  • ip–адрес;
  • сведения о браузере и его версии;
  • сведения о ОС и ее версии;
  • сведения об устройстве;
  • сведения об используемом языке на устройстве;
  • часовой пояс;
  • местоположение;
  • фамилия, имя, отчество;
  • телефон;
  • адрес электронной почты;
  • наличие cookie–файлов.

3.8. Оператор устанавливает следующие сроки обработки и хранения персональных данных:

  • персональные данные, обрабатываемые в связи с трудовыми отношениями, – в течение действия трудового договора и 50 лет (75 лет — если оформлены до 2003 года) после завершения действия трудового договора;
  • персональные данные кандидатов на вакантные должности, в том числе тех, кто не был оформлен на работу, — 30 дней с момента вынесения отрицательного решения;
  • журналы, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, — 1 год;
  • персональные данные, обрабатываемые в целях основной деятельности, – в течение срока действия гражданско-правового договора и срока исковой давности после его завершения;
  • сессионные cookie-файлы удаляются после закрытия браузера, обязательные cookie-файлы удаляются пользователем либо по истечении установленного срока хранения в соответствии с типом файлов.

3.9. Дата прекращения срока обработки персональных данных Оператором определяется наступлением одного из следующих событий:

  • достигнуты цели их обработки;
  • истек срок действия согласия субъекта персональных данных или он отозвал согласие на обработку персональных данных;
  • прекращена деятельность АО «СЗ «Инкост».

4. Основные права и обязанности Оператора персональных данных

4.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов персональных данных обязаны соблюдать следующие общие требования:

4.1.1. Обработка персональных данных субъекта может осуществляться исключительно в соответствии с заявленной целью.

4.1.2. Все персональные данные субъекта персональных данных Оператор получает у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных уведомляется об этом Оператором заранее и от него должно быть получено письменное согласие.

4.1.3. Оператор имеет право требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных.

4.1.4. Оператор имеет право ограничить доступ субъекта персональных данных к его персональным данным в случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации.

4.1.5. Оператор имеет право обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения с учетом положений ст. 10.1 Закона о персональных данных.

4.1.6. Оператор имеет право осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

4.1.7. Оператор имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

4.1.8. Оператор обязан давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

5. Основные права и обязанности субъекта персональных данных

5.1. Субъект персональных данных обязан передавать Оператору комплект достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации, иными нормативными актами, а также своевременно в разумный срок, не превышающий 10 дней, сообщать Оператору об изменении своих персональных данных.

5.2. Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных;
  • иные права, предусмотренные законодательством о персональных данных.

6. Принципы и условия обработки и хранения персональных данных

6.1. Принципы обработки персональных данных. Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.

6.2. Условия обработки персональных данных. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта;
  • обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3. Конфиденциальность персональных данных. Оператор и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.4. Общедоступные источники персональных данных. В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. Сведения о субъекте персональных данных в любое время исключаются из общедоступных источников персональных данных по требованию субъекта персональных данных.

6.5. Специальные категории персональных данных. Обработка Оператором специальных категорий персональных данных допускается в случаях, предусмотренных ч. 2, 3 ст. 10 Закона о персональных данных, и должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка.

6.6. Биометрические персональные данные. Биометрические персональные данные могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.

6.7. Поручение обработки персональных данных. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.

6.8. Обработка персональных данных граждан Российской Федерации. Оператор обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6.9. Трансграничная передача персональных данных. Оператор убеждается в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

6.10. Способы обработки персональных данных. Обработка персональных данных осуществляется Оператором без использования средств автоматизации и (или) с использованием средств автоматизации обработки персональных данных.

7. Обеспечение выполнения обязанностей Оператора и мер по защите персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение ответственного за организацию обработки персональных данных;
  • назначение ответственных за обеспечение мер по сохранности персональных данных;
  • ограничение состава лиц, допущенных к обработке персональных данных;
  • ознакомление субъектов с требованиями федерального законодательства;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности персональных данных при их обработке;
  • разграничение доступа пользователей к информационным ресурсам;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение средств межсетевого экранирования, обнаружения вторжений и криптографической защиты информации;
  • организация пропускного режима на территорию Оператора.

7.2. Обеспечение безопасности при обработке персональных данных осуществляется в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 и приказом ФСТЭК России от 18.02.2013 № 21.

7.3. В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными выполняются только работниками АО «СЗ «Инкост».

7.4. Документы, содержащие персональные данные, обрабатываются Оператором в служебных помещениях с ограничением доступа.

7.5. В электронном виде документы, содержащие персональные данные, хранятся в специализированных базах данных с ограничением и разграничением доступа.

8. Актуализация, исправление, удаление и уничтожение персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки, правовые основания и цели обработки, применяемые способы обработки, сроки обработки и хранения, порядок осуществления прав субъекта, а также иные сведения, предусмотренные Законом о персональных данных.

8.2. Указанные сведения предоставляются субъекту персональных данных в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса.

8.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, а также сведения, подтверждающие участие субъекта персональных данных в отношениях с АО «СЗ «Инкост».

8.4–8.5. Оператор обязан предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту.

8.6. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих их неполноту или неточность, Оператор вносит необходимые изменения.

8.7. В срок, не превышающий 7 (семи) рабочих дней, Оператор уничтожает персональные данные, которые являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.8. Уничтожение документов, содержащих персональные данные, производится путем дробления (измельчения) или применения шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

8.9. Факт уничтожения персональных данных подтверждается документально актом об уничтожении персональных данных.

8.10–8.18. Оператор уведомляет субъекта персональных данных о внесенных изменениях, прекращает обработку персональных данных при отзыве согласия или достижении цели обработки в сроки, установленные законодательством о персональных данных.

9. Заключительные положения

9.1. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.

9.2. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

9.3. Настоящая политика вступает в силу с момента утверждения и действует бессрочно до принятия новой Политики.