Положение о порядке обработки персональных данных в ООО «Дверянинов» (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Обществе с ограниченной ответственностью «Дверянинов» (ООО «Дверянинов»), ИНН 2124044727 (далее – Общество). Юридический адрес Общества: 429965, Чувашская Республика, г.Новочебоксарск, ул.Промышленная, влд.53, оф.16, сайт https://дверянинов.рф/.

1.1. Настоящее Положение определяет политику Общества как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.2. Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 02.09.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3. Перечень основных понятий: персональные данные. Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных. Любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение; автоматизированная обработка персональных данных. Обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных. Действия, направленные на раскрытие персональных данных неопределённому кругу лиц; предоставление персональных данных. Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; блокирование персональных данных. Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); уничтожение персональных данных. Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; информационная система персональных данных. Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; субъект персональных данных. Физическое лицо, данные которого обрабатываются; конфиденциальность персональных данных. Обязательное для Общества и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных

1.5. Сведения о персональных данных относятся к числу конфиденциальных и составляют охраняемую законом тайну.

1.6. Правовыми основаниями обработки персональных данных Обществом являются: Конституция РФ; Трудовой кодекс РФ; Гражданский кодекс РФ; Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Постановление Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; уставные документы Общества; договоры, заключаемые между Обществом и субъектами персональных данных; согласия субъектов персональных данных на обработку персональных данных; иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

1.7. Основные права и обязанности Общества.
1.7.1. Общество имеет право: получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные; требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
1.7.2. Общество обязано: обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации; рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы; предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным; принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями; организовывать защиту персональных данных в соответствии с требованиями законодательства Российской Федерации; не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.8. Основные права и обязанности субъектов персональных данных:
1.8.1. Субъекты персональных данных имеют право: на полную информацию об их персональных данных, обрабатываемых Обществом; на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом; на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; на отзыв согласия на обработку персональных данных; на принятие предусмотренных законом мер по защите своих прав; на осуществление иных прав, предусмотренных законодательством Российской Федерацией.

2.1. Общество может обрабатывать персональные данные следующих субъектов персональных данных: работники/бывшие работники, близкие родственники работников (муж, жена, дети); граждане, претендующие на замещение вакантных должностей; клиенты; пользователи (посетители) сайта; контрагенты – физические лица.

2.2. Персональные данные работников/бывших работников и граждан, претендующих на замещение вакантных должностей обрабатываются в целях обеспечения соблюдения трудового законодательства и ведения кадрового и бухгалтерского учета.
2.2.1. В целях, указанных в пункте 2.2. настоящего Положения, обрабатываются следующие персональные данные работников, граждан, претендующих на замещение вакантных должностей Общества: фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи; сведения о трудовой деятельности; сведения о воинском учёте и реквизиты документов воинского учёта; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; номер расчётного счета; номер банковской карты; иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2. настоящего Положения.
2.2.2. Обработка персональных данных и биометрических персональных данных работников и граждан, претендующих на замещение вакантных должностей, осуществляется с согласия указанных лиц в рамках целей, определенных пунктом 2.2. настоящего Положения, в соответствии с пунктом 1 части 1 статьи 6 и частью 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации.
2.2.3. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путём получения персональных данных непосредственно от работников и граждан, претендующих на замещение вакантных должностей.
2.2.4. В случае возникновения необходимости получения персональных данных работника, граждан, претендующих на замещение вакантных должностей, у третьей стороны, следует известить об этом работника, граждан, претендующих на замещение вакантных должностей.
2.2.5. Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные пунктом 2.2. настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
2.2.6. При сборе персональных данных сотрудник кадрового подразделения Общества, осуществляющий сбор (получение) персональных данных непосредственно от работника, граждан, претендующих на замещение вакантных должностей, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
2.2.7. Передача (распространение, предоставление) и использование персональных данных работника, граждан, претендующих на замещение вакантных должностей, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

2.3. В целях продвижения товаров, работ, услуг на рынке, осуществления обслуживания как потребителей, в том числе на стадии выбора и приобретения необходимых товаров, сопутствующих работ и(или) услуг, а также в последующем, включая консультации и любую иную коммуникацию в любом виде по вопросам, относящимся к деятельности ООО «Дверянинов» информирование об уникальных предложениях и(или) специальных программах, отправку рекламных и иных информационных материалов ООО направленных, в том числе, на стимулирование и помощь в подборе необходимых товаров, работ и(или) услуг, участие в конкурсах, акциях, мероприятиях, опросах, исследованиях, проводимых ООО «Дверянинов», Общество обрабатывает персональные данные, принадлежащие клиентам/пользователям (посетителям) сайта.
2.3.1. В целях, указанных в пункте 2.3. настоящего Положения, обрабатываются следующие персональные данные клиентов/пользователей (посетителей) сайта: фамилия, имя, отчество; номер мобильного телефона; адрес/адрес электронной почты (e-mail); файлы cookie.
2.3.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путём получения персональных данных непосредственно от субъектов персональных данных (клиентов/пользователей (посетителей) сайта).

2.4. С целью подготовки, заключения и исполнения гражданско-правовых договоров Общество обрабатывает персональные данные, принадлежащие контрагентам – физическим лицам, оказывающим услуги (выполняющим работы) по гражданскоправовым договорам.
2.4.1. В целях, указанных в пункте 2.4. настоящего Положения, обрабатываются следующие персональные данные контрагентов – физических лиц. фамилия, имя, отчество; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; идентификационный номер налогоплательщика; номер и серия страхового свидетельства; основной государственный регистрационный номер индивидуального предпринимателя (при наличии); адрес регистрации по месту жительства; номер контактного телефона или сведения о других способах связи (адрес электронной почты); номер расчётного счета.
2.4.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путём получения персональных данных непосредственно от субъектов персональных данных (контрагентов).

3.1. Обработка персональных данных Обществом осуществляется следующими способами: неавтоматизированная обработка персональных данных; автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персональных данных – совокупность неавтоматизированного и автоматизированного способов обработки персональных данных.
3.1.1. Персональные данные работников, граждан, претендующих на замещение вакантных должностей, обрабатываются в программе «1С: Предприятие 8.3».
3.1.2. Персональные данные клиентов/пользователей (посетителей) сайта обрабатываются в системе Microsoft, Яндекс, «1С: Предприятие 8.3» 3.1.3. Персональные данные контрагентов могут содержаться в письменных экземплярах договоров, а также обрабатываются в системе «1С: Предприятие 8.3».

3.2. Перечень действий, совершаемых Обществом с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, доступ), блокирование, уничтожение.

3.3. Обработка персональных данных осуществляется Обществом при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством Российской Федерации случаев, когда обработка персональных данных может осуществляться без такого Согласия.

3.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт Согласие свободно, своей волей и в своём интересе.

3.5. Согласие даётся в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерацией случаях Согласие оформляется в письменной форме: на передачу персональных данных работников третьим лицам, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными законами; на распространение персональных данных субъекта персональных данных; на включение персональных данных в общедоступные источники персональных данных в соответствии с ч. 1 ст. 8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; на передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных в соответствии с ч. 4 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (трансграничная передача); на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, когда получения такого согласия необходимо в силу ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; на обработку биометрических персональных данных в соответствии с ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; при автоматизированной обработке персональных данных субъекта, на основании которой может быть принято решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы (ч. 2 ст. 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

3.6. Условием прекращения обработки персональных данных может являться достижение или отсутствие необходимости в достижении целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

3.7. Согласие может быть отозвано путём направленного в адрес Общества заявления.

3.8. Общество при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Правовые меры состоят из изучения и применения законодательства по вопросам недопущения вреда, разработки локальных актов и их применения в данной сфере деятельности Общества. Организационные меры включают тщательный отбор, обучение и расстановку кадров, повышение их мотивации в вопросах недопущения вреда, в частности, единоличным исполнительным органом Общества утверждён перечень лиц, доступ которых к обрабатываемым персональным данным необходим для выполнения ими трудовых обязанностей. Технические меры объединяют создание условий и реализацию мероприятий по недопущению вреда, в том числе: организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности материальных носителей персональных данных; установление и поддержания соответствующих режимов безопасности, использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз; недопущение попадания конфиденциальной информации Общества, в том числе информации, составляющей коммерческую тайну, неуполномоченным лицам; обеспечение информационной безопасности Общества, бесперебойного функционирования технических средств обработки персональных данных (средств вычислительной техники, информационно-вычислительных комплексов и сетей, средств и систем передачи, приёма и обработки персональных данных, программных средств (операционных систем, систем управления базами данных и т.п.), средств защиты информации, применяемых в информационных системах); доступ к содержанию электронного журнала сообщений возможен исключительно для работников Общества, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей, при этом осуществляется автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника Общества по доступу к персональным данным, содержащимся в информационной системе; постоянный контроль за обеспечением уровня защищённости персональных данных.

3.9. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособлены от иной информации, в частности путём фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

3.10. В Обществе обеспечено раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

3.11. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют ответственные лица Общества.

3.12. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.13. При осуществлении хранения персональных данных Общество использует базы данных, находящиеся на территории Российской Федерации.

4.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Обществом, или их обработка должна быть прекращена соответственно.

4.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами Российской Федерации.

4.3. По письменному запросу субъекта персональных данных или его представителя Общество обязано сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

4.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.6. При достижении или отсутствии необходимости в достижении целей обработки персональных данных, персональные данные подлежат уничтожению.
4.6.1. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается комиссией, состав которой утверждается приказом Общества. По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается.
4.6.2. Уничтожение материальных носителей, содержащих персональные данные, происходит путём сжигания/измельчения с составлением Акта об уничтожении.
4.6.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5.1. С «Положением о порядке обработки персональных данных в ООО «Дверянинов» в обязательном порядке должны быть ознакомлены все работники
5.2. Работник, которому в силу трудовых отношений стала известна информация, составляющая персональные данные, в случае нарушения режима защиты этих данных несёт материальную, дисциплинарную, административную, гражданскоправовую или уголовную ответственность в порядке, установленном федеральными законами.
5.3. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящем Положении, регулируются согласно положениям законодательства Российской Федерации.
5.4. Общество имеет право вносить изменения в настоящее Положение. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Положения вступает в силу с момента его утверждения. Действующая редакция постоянно доступна на сайте https://дверянинов.рф/.