Политика в отношении обработки персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных в ООО «Билифо» (далее – Политика) является основополагающим документом, определяющим общие принципы, цели, правовые основания обработки персональных данных, основные права и обязанности ООО «Билифо» (далее – Компания) и субъектов персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных в Компании, а также меры по обеспечению безопасности персональных данных при их обработке.

1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» и иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных, обеспечения безопасности и конфиденциальности такой информации.

1.3. Политика разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Компании.

1.4. Политика распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств (а также с использованием смешенных способов обработки персональных данных), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение, деперсонализацию, анализ персональных данных.

1.5. Требования Политики учитываются в отношениях с третьими лицами при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им персональных данных в установленном порядке в рамках заключаемых соглашений или требований действующего законодательства Российской Федерации.

1.6. Неограниченный доступ к Политике обеспечивается посредством публикации на корпоративных ресурсах Компании и/ или размещения в иных местах, определенных Компанией. 

1.7. Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в действующем законодательстве Российской Федерации о персональных данных или в фактических процессах обработки персональных данных в Компании, а также в иных случаях на усмотрение Компании.

1.8. Область действия Политики: ООО «Билифо».

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Компания осуществляет обработку персональных данных на основе общих принципов:

• законности и справедливой основы;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей, совместимости обработки персональных данных с заявленными целями сбора;  недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• соответствия обработки персональных данных, содержания и объема обрабатываемых персональных данных целям обработки;
• недопущения обработки персональных данных, избыточных по отношению к заявленным целям обработки персональных данных;
• обеспечения точности, достаточности и актуальности персональных данных по отношению к заявленным целям обработки; 
• уничтожения персональных данных при достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели их обработки, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных Компания и субъект персональных данных реализуют следующие права и обязанности.

3.1. Компания вправе:

3.1.1. Обрабатывать персональныеданные субъекта персональных данных в соответствии с заявленной целью; 

3.1.2. требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных действующим законодательством Российской Федерации о персональных данных;

3.1.3. обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, на основании отдельного согласия;

3.1.4. поручать обработку персональных данных другому лицу с согласия субъекта персональных данных и в иных случаях, когда это предусмотрено действующим законодательством Российской Федерации; 

3.1.5. предоставлять персональные данные третьим лицам, если это предусмотрено действующим законодательством Российской Федерации; 3.1.6. отстаивать свои интересы в суде; 

3.1.7. осуществлять иные права, предусмотренные действующим законодательством Российской Федерации.

3.2. Субъект персональных данных вправе: 

3.2.1 получать от Компании информацию, касающуюся обработки его персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»;

3.2.2. требоватьотКомпанииуточненияегоперсональныхданных,ихблокированияилиуничтожениявслучае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленных целей обработки;

3.2.3. принимать меры по защите своих прав, предусмотренные действующим законодательством Российской Федерации;

3.2.5. отзывать свое согласие на обработку персональных данных.

3.3. Компания обязана:

3.3.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с действующим законодательством Российской Федерации;

3.3.3. присбореперсональныхданныхобеспечиватьзапись,систематизацию,накопление,хранение,уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных - граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;

3.3.4. взаимодействовать с Центром Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, предусмотренном Приказом ФСБ России от 13.02.2023 No 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;

3.3.5. исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные обрабатываются в Компании в целях:

4.1. Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании.

4.2. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании.

4.3. Осуществления прав и обязанностей, возложенных действующим законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, в ФГИС, а также в иные органы власти.

4.4. В целях, определенных в Приложении No1 к настоящей Политике.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Правовыми основаниями обработки персональных данных для достижения целей, указанных п.4 настоящей Политики, являются:

5.1. Выполнение функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации, регулирующими отношения, связанные с деятельностью Компании:

− Конституция Российской Федерации;

− Трудовой кодекс Российской Федерации;

− Гражданский кодекс Российской Федерации;

− Налоговый кодекс Российской Федерации;

− Федеральный закон от 06.12.2011 No 402-ФЗ «О бухгалтерском учете»;

− Федеральный закон от 15.12.2001 No 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

− Федеральный закон от 29.12.2006 No 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

− Федеральный закон от 24.07.1998 No 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

− Федеральный закон от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

− Федеральный закон от 25 декабря 2008 г. No 273-ФЗ «О противодействии коррупции»; 

− Федеральный закон от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

− Закон РФ от 07.02.1992 No 2300-1 «О защите прав потребителей»; 

− Федеральный закон от 22.05.2003 No 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»;

− Федеральный закон от 06.04.2011 No 63-ФЗ «Об электронной подписи»;

− Федеральный закон от 08.02.1998 No 14-ФЗ «Об обществах с ограниченной ответственностью»; 

− Федеральный закон от 25.07.2002 No 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;

− Федеральный закон от 28.03.1998 No 53-ФЗ «О воинской обязанности и военной службе»;

− Федеральный закон от 01.04. 1996 No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

− Федеральный закон от 24.07.2009 No 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации;

− Постановление Правительства РФ от 27.11.2006 No 719 «Об утверждении Положения о воинском учете»;

− иные нормативные правовые акты Российской Федерации, субъектов Российской Федерации и органов местного самоуправления.

5.2. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

5.3. Обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц, если при этом не нарушаются права и свободы субъекта персональных данных, в т.ч. в соответствии с локальными нормативными актами и иными внутренними нормативными документами Компании.

5.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных (или его законного представителя) на обработку его персональных данных.

5.5. Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

5.6. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с действующим законодательством Российской Федерации об исполнительном производстве. 

5.7. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

5.8. Обработка персональных данных по поручению третьих лиц, при которой третье лицо, самостоятельный оператор персональных данных обеспечивает надлежащее правовое основание для обработки персональных данных.

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Перечень персональных данных, категории субъектов персональных данных, чьи персональные данные обрабатываются в Компании, объем обрабатываемых персональных данных, способы и сроки обработки, порядок уничтожения персональных данных определяются для каждой цели обработки в соответствии с действующим законодательством Российской Федерации, с учетом направления деятельности Компании и закреплены в Приложении No1 к настоящей Политике.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Компании не осуществляется.

6.3. Компания не принимает на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

6.4 Компания допускает возможность трансграничной передачи персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 No152-ФЗ «О персональных данных» с обязательным уведомлением Роскомнадзора о намерении такой передачи.

7. ПОРЯДОК, СРОКИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Компания осуществляет обработку персональных данных следующими способами:

• неавтоматизированная обработка персональных данных; 
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; 
• смешанная обработка персональных данных. 

7.2. Компания осуществляет сбор, запись, систематизацию, анализ, накопление, хранение, получение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, распространение,

7.3. Компания вправе передавать данные и/или поручить обработку персональных данных другому лицу (в том числе, третьим лицам, список которых размещен на сайтах и/или в мобильных приложениях Компании) с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных».

7.4. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией за действия в отношении обработки персональных данных.

7.5. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

7.6. По мотивированному запросу, исключительно в целях выполнения возложенных действующим законодательством Российской Федерации функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в органы государственной власти и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

7.7. Компания осуществляет обработку специальных категорий персональных данных, касающихся сведений о состоянии здоровья, в случае получения согласия от субъекта персональных данных на обработку таких персональных данных в письменной форме или в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.

7.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.

7.9. Компания прекращает обработку персональных данных при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также при выявлении неправомерной обработки персональных данных.

7.10. Компания уточняет или обеспечивает уточнение персональных данных субъекта персональных данных в течение 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

7.11. Компания прекращает или обеспечивает прекращение обработки персональных данных, в случае выявления неправомерной обработки персональных данных, в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления.

7.12. Компания уничтожает персональные данные субъекта персональных данных при наступлении следующих условий и в следующие сроки:

• достижение целей обработки персональных данных или максимальных сроков обработки - в течение 30 (тридцати) календарных дней;
• утрата необходимости в достижении целей обработки персональных данных - в течение 30 (тридцати) календарных дней;
• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленных целей обработки - в течение 7 (семи) рабочих дней;
• невозможность обеспечения правомерности обработки персональных данных - в течение 10 (десяти) рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 (тридцати) календарных дней;
• требование субъекта персональных данных о прекращении обработки персональных данных - в течение 10 (десяти) рабочих дней с даты получения такого требования, если обработка осуществляется на основании согласия субъекта персональных данных. Указанный срок может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Компанией субъекту персональных данных мотивированного уведомления с указанием причин продления.
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
• в отдельных случаях локальными актами Компании и договором с субъектом персональных данных могут быть предусмотрены иные сроки.

8.1. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации.

8.2. В Компании применяются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» в области обработки персональных данных:

• назначение лица, ответственного за организацию обработки персональных данных;
• назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
• утверждение Политики в отношении обработки персональных данных и иных локальных актов по вопросам обработки персональных данных, а также внутренних нормативных документов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства Российской Федерации, устранение последствий таких нарушений;
• осуществление внутреннего контроля и аудита соответствия обработки персональных данных действующему законодательству Российской Федерации, требованиям к защите персональных данных, Политике Компании в отношении обработки персональных данных;
• осуществление оценки вреда, который может быть причинен субъектам персональных данных в случае неисполнения требований Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», соотношения указанного вреда и принимаемых Компанией мер;
• осуществление ознакомления работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, внутренними нормативными документами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• повышение осведомленности работников в вопросах информационной безопасности и обработки персональных данных, проведение регулярных обучений, курсов и лекций, контроль усвоения работниками изученных и пройденных материалов;
• разделение полномочий пользователей и их доступов в информационные системы персональных данных в зависимости от их должностных и функциональных обязанностей, регулярный пересмотр доступов в информационные системы на предмет их необходимости и актуальности;

8.3. С целью обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных и противоправных действий в отношении персональных данных, в частности:

• определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществляется учет машинных носителей информации, содержащей персональные данные;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
• обеспечивается резервирование и возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
•  устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента, Компания обязана уведомить Роскомнадзор в сроки, установленные действующим законодательством Российской Федерации.

8.5. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с действующим законодательством Российской Федерации и внутренними нормативными документами Компании, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Компании.

9.1. Субъект персональных данных или его законный представитель в целях реализации прав, установленных Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», вправе:

• направить письменный запрос по адресу 121357, город Москва, Верейская ул, д. 17, помещ. 1 ком. 76;
• направить письменный запрос в форме электронного документа, подписанного электронной подписью (при наличии технической возможности);
• направить запрос по электронной почте marketing@bilifo.com.