Политика обработки и защиты персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика обработки и защиты персональных данных (далее – «Политика») оператора персональных данных – Общества с ограниченной ответственностью «Никкисо Индастриал Рус» (далее – «Общество»), место нахождения: Российская Федерация, 117105, г. Москва, ш. Варшавское, д. 1А, ком. 45, определяет основные принципы, порядок и условия обработки персональных данных, требования к защите персональных данных, а также основные права и обязанности субъектов персональных данных и оператора персональных данных.
  2. Настоящая Политика является основным руководящим локальным нормативным актом Общества в отношении обработки персональных данных.
  3. Общество обеспечивает неограниченный доступ к настоящей Политике путем публикации ее на веб-сайте Общества.

ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных Обществом осуществляется в соответствии с принципами:
    • законности и справедливости целей и способов обработки персональных данных;
    • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
    • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    • соответствия объема и содержания обрабатываемых персональных данных целям обработки персональных данных;
    • недопустимости обработки персональных данных, которая может быть несовместима с целями сбора персональных данных;
    • обеспечения точности персональных данных, их достаточности, а в необходимых случаях актуальности персональных данных для целей их обработки;
    • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Общество осуществляет обработку персональных данных в следующих целях:
    • исполнение обязательств, предусмотренных законодательством Российской Федерации и локальными нормативными актами Общества;
    • предоставление услуг по договору об оказании услуг, заключенному между Обществом и ООО «Технологии Доверия – Консультирование» (в отношении обработки персональных данных работников);
    • информационное обеспечение трудовой деятельности работника;
    • обеспечение организации и реализации единых внутригрупповых бизнес-процессов группы компаний Никкисо в отношении работников;
    • организация маркетинговых и социальных активностей работников;
    • содействие в трудоустройстве кандидатов (соискателей);
    • содействие в трудоустройстве кандидатов (соискателей) в отношении рекомендателей;
    • исполнение прав и обязанностей сторон трудовых отношений в отношении родственников работников;
    • предоставление родственникам работников льгот и компенсаций;
    • связь в экстренных случаях;
    • взаимодействие в рамках группы компаний Никкисо;
    • согласование, заключение и исполнение договоров и иных сделок с контрагентами;
    • согласование, заключение и исполнение договоров и иных сделок с клиентами;
    • осуществление и выполнение функций, полномочий и обязанностей, возложенных на Общество в рамках мероприятий контроля.

ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Правовыми основаниями для обработки персональных данных являются, в том числе:
    • Гражданский кодекс Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
    • Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
    • Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
    • Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
    • Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
    • Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
    • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
    • Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
    • Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
    • «Основы законодательства Российской Федерации о нотариате» от 11.02.1993 № 4462-1;
    • Закон Российской Федерации от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации»;
    • Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
    • Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
    • Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;
    • Устав Общества;
    • Договоры, заключаемые между Обществом и его клиентами;
    • Договоры, заключаемые между Обществом и его контрагентами;
    • Договоры, заключаемые с субъектами персональных данных;
    • Согласия субъектов персональных данных.

ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

  1. В Обществе обработка персональных данных осуществляется в отношении следующих категорий субъектов персональных данных:
    • работников;
    • кандидатов (соискателей);
    • рекомендателей;
    • родственников работников;
    • работников группы компаний Никкисо;
    • контрагентов – физических лиц (индивидуальных предпринимателей, самозанятых);
    • представителей контрагентов – юридических лиц;
    • представителей клиентов – юридических лиц;
    • представителей государственных и муниципальных органов.
  2. Для каждой цели обработки персональных данных локальными нормативными актами Общества определяются категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
  3. Обработка Обществом персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.
  4. Обработка персональных данных осуществляется путем смешанной (как автоматизированной, так и неавтоматизированной) обработки, в том числе с использованием внутренней корпоративной сети и сети Интернет.
  5. Источником информации обо всех персональных данных является непосредственно субъект персональных данных. Если иное не установлено законодательством Российской Федерации, Общество вправе получать персональные данные субъекта персональных данных от третьих лиц, но субъект персональных данных должен быть уведомлен об этом.
  6. Общество может осуществлять передачу персональных данных субъектов персональных данных третьим лицам, включая трансграничную передачу персональных данных на территории иностранных государств, в том числе, не обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соблюдения требований, предусмотренных законодательством Российской Федерации.
  7. Общество вправе поручить обработку персональных данных другому лицу с согласия соответствующего субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручения на обработку персональных данных). Лицо, осуществляющее обработку персональных данных по поручению, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации.
  8. При обработке персональных данных в Обществе соблюдаются условия, обеспечивающие сохранность и конфиденциальность персональных данных.
  9. Общество предпринимает необходимые технические и организационные меры в соответствии с законодательством Российской Федерации в области персональных данных с целью обеспечения их защиты от несанкционированного доступа, изменения, раскрытия или уничтожения.
  10. Работники Общества, а также иные лица, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных.
  11. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  12. Уничтожение персональных данных производится после достижения целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения персональных данных, установленного федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Общество предпринимает разумные меры для поддержания точности и актуальности обрабатываемых персональных данных, а также их удаления в случаях, если они признаются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки.
  2. В случае обнаружения факта неточности персональных данных или неправомерности их обработки, Общество обязано провести актуализацию или прекратить их обработку.
  3. Обработка персональных данных прекращается Обществом в следующем порядке и сроки (если иное не предусмотрено законодательством Российской Федерации):
    • при выявлении неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов персональных данных, также этот орган;
    • при достижении цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных;
    • при отзыве субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает (за исключением персональных данных, которые хранятся в соответствии с действующим законодательством) персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
    • при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных, Общество прекращает обработку персональных данных и уничтожает персональные данные (за исключением персональных данных, обработка которых может осуществляться без согласия субъекта персональных данных) в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока прекращения обработки и уничтожения персональных данных.
  4. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование и затем обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
  5. Уничтожение персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект персональных данных имеет право на получение информации, касающейся обработки Обществом его персональных данных, в том числе содержащей:
    • подтверждение факта обработки персональных данных;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Обществом способы обработки персональных данных;
    • наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
    • перечень обрабатываемых персональных данных субъекта персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством в области персональных данных;
    • информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
    • наименование (фамилию, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
    • информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
    • иные сведения, предусмотренные законодательством в области персональных данных.
  2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  3. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
  5. Субъект персональных данных обязан:
    • предоставлять Обществу достоверные персональные данные;
    • своевременно сообщать Обществу об изменениях и дополнениях своих персональных данных;
    • осуществлять свои права в соответствии с законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных;
    • исполнять иные обязанности, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных.

ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА

  1. При осуществлении обработки персональных данных Общество вправе:
    • устанавливать правила обработки персональных данных в Обществе, вносить изменения и дополнения в локальные нормативные акты, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора персональных данных;
    • осуществлять иные права, предусмотренные законом, иными нормативными правовыми актами и локальными нормативными актами Общества в области обработки и защиты персональных данных.
  2. При осуществлении обработки персональных данных Общество обязано:
    • обеспечивать обработку персональных данных исключительно в целях, для которых был осуществлен сбор персональных данных;
    • получать от субъекта персональных данных согласие на обработку его персональных данных, в том числе в письменной форме, в случаях, установленных законодательством, и разъяснять субъекту персональных данных юридические последствия отказа дать согласие на их обработку;
    • защищать персональные данные от их неправомерного использования или утраты;
    • изменять, обновлять и уточнять персональные данные субъектов персональных данных;
    • уведомлять уполномоченный орган по защите прав субъектов персональных данных об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных в сроки, установленные законодательством Российской Федерации;
    • обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование уполномоченного органа в области обеспечения безопасности о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных в порядке, определенном уполномоченным органом в области обеспечения безопасности;
    • исполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами Общества в области обработки и защиты персональных данных.

ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Общество предоставляет субъекту персональных данных ответ на запрос о получении информации, касающейся обработки его персональных данных, на основании соответствующего письменного заявления субъекта персональных данных.
  2. Адрес для обращений субъектов персональных данных в Общество по вопросам обработки персональных данных:
    • 117105, г. Москва, ш. Варшавское, д. 1А, ком. 45.