2. Цели сбора персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Цели обработки персональных данных происходят, в том числе, из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
2.3. К целям обработки персональных данных оператора относятся:
- осуществление своей деятельности в соответствии с уставом ООО «ВетЭксперт», в т.ч. заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом Общества;
- обеспечение соблюдения трудового законодательства РФ;
-организация кадрового и бухгалтерского учета;
-обеспечение соблюдения налогового законодательства РФ;
-обеспечение соблюдения пенсионного законодательства РФ;
-обеспечение соблюдения законодательства РФ о противодействии легализации финансированию терроризма;
-проведение статистического учета;
-продвижение товаров, работ, услуг на рынке, в т.ч. путем обеспечения полноценного функционирования, улучшение работы сервисов (в том числе сайтов Оператора) в информационно-телекоммуникационной сети Интернет;
-подбор персонала (соискателей) на вакантные должности оператора;
-обеспечение соблюдения законодательства РФ о противодействии коррупции.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных являются:
- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
- уставные документы оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления возложенных на ООО «ВетЭксперт» законодательством Российской Федерации функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных", при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
- обеспечение доступа субъектов персональных данных на территорию Оператора, обеспечение личной безопасности работников и сохранности имущества при осуществлении такого доступа.
4.3. В зависимости от целей, предусмотренных в разделе 2 настоящей Политики, в Обществе обрабатываются персональные данные следующих категорий субъектов персональных данных:
- работники;
- клиенты, потребители услуг;
-физические лица, осуществляющие выполнение работ (оказание услуг) и заключившие с Обществом договоры гражданско-правового характера;
- физические лица, являющиеся представителями клиентов;
- выгодоприобретатели по договорам;
- физические лица, выразившие согласие на обработку персональных данных;
-физические лица, обработка персональных данных которых необходима для достижения целей, предусмотренных международными договорами Российской Федерации или законами, для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- потенциальные клиенты;
- контрагенты и их представители;
- работники контрагентов Общества;
- посетители;
- бывшие работники;
-родственники работников;
- соискатели и кандидаты на замещение вакантных должностей;
- близкие родственники соискателей;
- посетители интернет- сайтов Общества в информационно-телекоммуникационной сети «Интернет»
-пользователи сайтов, мобильных приложений и мессенджеров.
4.4. Лицо, ответственное за организацию обработки персональных данных в ООО «ВетЭксперт», формирует перечень целей обработки, в котором для каждой цели определяются категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы, сроки их обработки и хранения.
4.5.В целях информационного обеспечения в Обществе создаются общедоступные источники персональных данных субъектов, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
4.6. Сведения о субъекте должны быть исключены из общедоступных источников персональных данных по письменному запросу субъекта либо по решению суда или иных уполномоченных государственных органов.
4.7. Обработка специальных категорий персональных данных допускается:
- в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным, страховым законодательством Российской Федерации.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
Персональные данные получаются и обрабатываются Оператором на основании федеральных законов и на иных правовых основаниях, а в необходимых случаях - при наличии согласия субъекта персональных данных (его Представителя после проверки его полномочий).
5.2. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.3. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
5.4. Обработка персональных данных осуществляется с соблюдением принципов, правил и условий, предусмотренных Федеральным законом "О персональных данных".
5.5. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
5.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.7. Обработка персональных данных для каждой цели обработки, указанной в настоящей Политике, осуществляется путем:
-получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
-внесения персональных данных в журналы, реестры и информационные системы Оператора;
-использования иных способов обработки персональных данных.
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения программных и технических средств.
5.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
-определяет угрозы безопасности персональных данных при их обработке;
-принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.10. Использование персональных данных осуществляется работниками ООО «ВетЭксперт», допущенными к обработке персональных данных, для выполнения ими трудовых обязанностей в соответствии с их должностными инструкциями и (или) ОРД.
Использование персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется при соблюдении условий и запретов, установленных субъектом персональных данных.
5.11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.12. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.13. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.14. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.15. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.16. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом "О персональных данных".
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.17. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
5.18. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
5.19. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.20. Оператор осуществляет обработку специальной категории персональных данных – сведения о состоянии здоровья, в следующих случаях:
- субъект персональных данных предоставил Оператору согласие на обработку в письменной форме;
-осуществляется обработка персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
-осуществляется обработка персональных данных в соответствии с законодательством о государственной социальной помощи, об обязательных видах страхования, трудовым законодательством, страховым законодательством, пенсионным законодательством;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия.
5.21. Оператор может осуществлять сбор и иные действия по обработке персональных данных с использованием мобильных приложений и сайтов ООО «ВетЭксперт» в информационно - телекоммуникационной сети Интернет, в том числе с использованием аналитических сервисов.
Обработка персональных данных в мобильных приложениях и на сайтах ООО «ВетЭксперт» в информационно телекоммуникационной сети Интернет осуществляется при наличии законных оснований.
5.22. Оператор может без согласия субъектов персональных данных обрабатывать персональные данные, полученные в результате обезличивания встатистических или иных исследовательских целях, за исключением использования обезличенных данных в целях продвижения товаров, работ, услуг на рынке.
Допускается обработка персональных данных, полученных в результате обезличивания, в иных целях, предусмотренных в согласиях субъектов персональных данных.
5.23. Оператор может осуществлять обезличивание персональных данных по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14
ФЗ «О персональных данных», предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
-номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
-сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
-подпись субъекта персональных данных или его представителя.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.3. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
-в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8. Порядок уничтожения персональных данных Оператором
8.1. Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
8.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО " ВетЭксперт ".
8.4. Комиссия проводит экспертизу ценности документов. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения в шредере или сжигания, электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
9. Обеспечение безопасности персональных данных
9.1. Безопасность персональных данных, обрабатываемых ООО «ВетЭксперт», обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
9.2. Для предотвращения несанкционированного доступа к персональным данным ООО «ВетЭксперт» применяются следующие организационно-технические меры:
-назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничение состава лиц, имеющих доступ к персональным данным;
-ознакомление субъектов с требованиями федерального законодательства и локальных нормативных актов Общества по обработке и защите персональных данных;
-организация учёта, хранения и обращения носителей информации;
-определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
-разработка системы защиты персональных данных;
-проверка эффективности использования средств защиты информации;
-разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки и защиты информации;
-применение необходимых для обеспечения безопасности персональных данных, средств защиты информации, в том числе криптографических средств;
-обеспечение восстановления персональных данных, уничтоженных или модифицированных вследствие несанкционированного доступа к ним;
-обеспечение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
-организация пропускного режима, охраны помещений с техническими средствами обработки персональных данных.
9.3. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии нейтрализующей актуальные угрозы.
Доступ пользователей к персональным данным в информационных системах персональных данных разрешается после обязательного прохождения процедуры идентификации и аутентификации.
9.4. Обеспечение безопасности персональных данных при их обработке в информационных системах осуществляется на всех стадиях жизненного цикла информационных системах и состоит из согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных в информационных системах, на минимизацию возможного ущерба, а также включает мероприятия по восстановлению данных и нормальному функционированию информационных системах в случае реализации угроз.
10. Заключительные положения
10.1. Иные права и обязанности Общества, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, а также по инициативе Общества.
10.3. На сайте ООО «ВетЭксперт» (https://vetexpert.ru)могут собираться персональные данные посетителей сайта с целью анализа эффективности сайта.
10.4. Если Вы не согласны с настоящей Политикой, просим Вас не пользоваться этим сайтом и не предоставлять свои персональные данные.
10.5. Общество и его должностные лица виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством РФ.