Политика обработки персональных данных

2.1. В настоящей Политике используются следующие определения и понятия:

• персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных); 
• субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
• оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 
• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; 
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; 
• трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.1. Обработка Обществом персональных данных осуществляется в следующих целях:

• обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации; 
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; 
• проведения учебно-ознакомительной и преддипломной практики; 
• содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечения стажировки и наставничества, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; 
• ведения кадрового делопроизводства и личных дел работников; 
• формирования кадрового резерва Оператора; 
• предоставления работникам отпусков и направления их в командировки; 
• организации и оформления награждений и поощрений работников; 
• оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;
• организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения; 
• заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности; 
• анализа локальных правовых актов, регламентирующих деятельность Оператора;
• осуществления Оператором деятельности, которая предусмотрена учредительными документами Общества; 
• совершенствования бизнес-процессов Общества в целом и в том числе по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов персональных данных; 
• регистрации участников стимулирующих мероприятий Общества; 
• проведения социологических опросов и маркетинговых и иных исследований; 
• получения статистических данных; 
• рассылки информационных, рекламных и иных материалов по направлениям деятельности Общества, его партнеров и контрагентов, а также деятельности Общества; 
• рассмотрения обращений, заявлений, писем посетителей Общества по вопросам, связанным деятельностью Общества; 
• урегулирования страховых случаев; 
• подготовки, заключения, исполнения и прекращения гражданско-правовых договоров; 
• формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества; 
• обеспечения пропускного режима в Общество;
• иных не запрещенных законодательством Российской Федерации целях при условии получения письменных согласий субъектов персональных данных.

3.2. Общество ограничивает обработку персональных данных достижением конкретных, заранее определенных и законных целей, которые доводятся в каждом конкретном случае до субъекта персональных данных.

3.3. Общество не допускает обработку персональных данных, несовместимую с целями обработки персональных данных.

4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации; 
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 
• Устав Общества и иные локальные нормативные акты Оператора; 
• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти; 
• договоры, заключаемые между Оператором и субъектом персональных данных; 
• договоры, заключаемые между Оператором и лицами, осуществляющим обработку персональных данных по поручению Оператора; 
• согласие субъектов на обработку их персональных данных.

5.1. В зависимости от целей, предусмотренных в разделе 3 настоящей Политики, в Обществе могут обрабатываться персональные данные следующих категорий субъектов:

5.1.1. Соискатели на должности в Общество:

• фамилия, имя, отчество; 
• год и место рождения; 
• контактные данные; 
• сведения о профессии и иные персональные данные, сообщаемые соискателем в резюме и сопроводительных письмах.

5.1.2. Студенты высших учебных заведений:

• фамилия, имя, отчество; 
• пол; 
• возраст; 
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; 
• иные персональные данные, сообщаемые студентами в резюме и сопроводительных письмах.

5.1.3. Работники Общества:

• фамилия, имя, отчество; 
• пол; 
• возраст; 
• изображение (фотография); 
• паспортные данные; 
• адрес регистрации и фактического проживания; 
• индивидуальный номер налогоплательщика; 
• страховой номер индивидуального лицевого счета (СНИЛС); 
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; 
• семейное положение, наличие детей, родственные связи; 
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий; 
• данные о регистрации брака; 
• сведения о воинском учете; 
• сведения об инвалидности; 
• сведения об удержании алиментов; 
• сведения о доходе с предыдущего места работы; 
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

5.1.4. Лица, входящие в органы управления Общества:

• фамилия, имя, отчество; 
• сведения о трудовой деятельности; 
• образование; 
• индивидуальный номер налогоплательщика; 
• адрес проживания; 
• фотография; 
• номер телефона; 
• адрес электронной почты.

5.1.5. Кандидаты на должность единоличного исполнительного органа Общества: 

• фамилия, имя, отчество; 
• изображение (фотография); 
• число, месяц, год и место рождения; 
• сведения о гражданстве; 
• сведения об образовании; 
• сведения о трудовой деятельности; 
• наличие ученой степени, ученого звания (когда присвоены, номера дипломов, аттестатов); 
• семейное положение; 
• сведения о судимости; 
• сведения о государственных наградах, иных наградах и знаках отличия (даты награждения); 
• домашний адрес (адрес регистрации, фактического проживания); 
• номер телефона.

5.1.6. Иностранные граждане, являющиеся работниками Общества, а также члены их семей:

• фамилия, имя, второе имя в русской и латинской транскрипциях; 
• пол; 
• фотография; 
• сведения о гражданстве; 
• дата рождения; 
• номер паспорта, дата выдачи и срок действия паспорта; 
• номер и срок действия визы в РФ; 
• адрес в стране постоянного проживания; 
• фактический адрес проживания в РФ; 
• сведения о высшем образовании (наименование высшего учебного заведения, город и страна его местонахождения, год окончания, специальность); 
• сведения о родственниках на территории РФ (при наличии - фамилия, имя, отчество, степень родства, дата рождения и адрес проживания родственника в Российской Федерации); 
• место рождения (страна, населенный пункт); 
• сведения о трудовой деятельности (наименования предыдущих работодателей, их местонахождения, периоды работы, занимаемые должности); 
• сведения о семейном положении; 
• номер и срок действия свидетельства о персональной аккредитации работника; 
• номер и срок действия разрешения на работу; 
• реквизиты действующей рабочей визы (кратность, номер, дата выдачи, срок действия, идентификатор визы, номер приглашения на въезд); 
• фамилия, имя, второе имя, даты рождения супруга(и) и детей; 
• контактные телефоны за рубежом и в РФ; 
• адрес постановки на миграционный учет в РФ.

Для членов семей иностранных работников:

• фамилия, имя, второе имя в русской и латинской транскрипциях; 
• пол; 
• фотография; 
• сведения о гражданстве; 
• дата рождения; 
• номер паспорта, срок действия паспорта; 
• номер и срок действия визы в РФ (при наличии); 
• степень родства с иностранным работником; 
• фамилия, имя, второе имя в русской и латинской транскрипциях иностранного работника.

5.1.7. Лица, привлекаемые к выполнению работ/услуг по гражданско-правовым договорам:

• фамилия, имя, отчество; 
• паспортные данные; 
• страховой номер индивидуального лицевого счета (СНИЛС); 
• индивидуальный номер налогоплательщика (при наличии).

5.1.8. Лица, являющиеся арендаторами по договорам аренды:

• фамилия, имя, отчество арендатора; 
• паспортные данные арендатора; 
• пол; 
• возраст; 
• изображение (фотография); 
• адрес регистрации и фактического проживания арендатора; 
• страховой номер индивидуального лицевого счета (СНИЛС); 
• индивидуальный номер налогоплательщика (при наличии); При заключении долгосрочного договора аренды: 
• фамилия, имя, отчество супруга/супруги арендатора; 
• пол; 
• возраст; 
• паспортные данные супруга/супруги арендатора; 
• адрес регистрации и фактического проживания супруга/супруги арендатора;

5.1.9. Лица, включаемые в перечень рассылки информационных, рекламных и иных материалов по направлениям деятельности Общества, его партнеров и контрагентов, а также деятельности Общества:

• фамилия, имя, отчество; 
• дата рождения и/или возраст; 
• адрес регистрации по месту жительства/пребывания; 
• уровень образования; 
• уровень дохода; 
• адрес электронной почты; 
• контактный номер телефона.

5.1.10. Лица, являющиеся участниками стимулирующих мероприятий Общества, социологических опросов и маркетинговых и иных исследований, проводимых Обществом:

• фамилия, имя, отчество; 
• пол; 
• дата рождения и/или возраст; 
• гражданство; 
• паспортные данные; 
• адрес регистрации по месту жительства/пребывания; 
• семейное положение (наличие супруга/супруги, детей); 
• уровень образования; 
• уровень дохода; 
• адрес электронной почты; 
• контактный номер телефона; 
• интересы; 
• интересующие каналы коммуникации; 
• сведения об участии в стимулирующих мероприятиях Общества; 
• сведения об активности участия в стимулирующих мероприятиях Общества;

5.2. Общество может создавать внутренние справочные материалы (справочники), в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:

• фамилия, имя, отчество; 
• должность; 
• изображение (фотография); 
• наименование подразделения; 
• адрес электронной почты; 
• контактный номер телефона; 
• иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.

5.3. Обработка в Обществе биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

5.4. В Обществе не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, за исключением пункта 5.1.5. настоящей политики.

5.5. При обработке персональных данных Общество следит за тем, чтобы содержание и объем обрабатываемых персональных данных соответствовали заявленным целям обработки.

5.6. В Обществе не допускается, чтобы обрабатываемые персональные данные были избыточными по отношению к заявленным целям их обработки.

6.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

6.3. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

6.4. Обработка персональных данных осуществляется путем:

• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных; 
• предоставления субъектами персональных данных оригиналов необходимых документов; 
• получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов; 
• получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации; 
• получения персональных данных из общедоступных источников; 
• фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах; 
• внесения персональных данных в информационные системы Общества; 
• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

6.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

6.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Общество обеспечивает обязательное выполнение требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных.

6.7. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

6.8. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии c Федеральным законом «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

6.9. Общество вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Общества, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

6.10. В случае, когда Общество на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

6.11. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных;
• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.

6.12. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

6.13. Сроки хранения персональных данных в Обществе определяются в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества в области документооборота.

7.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Общества, подпись (в том числе электронная) субъекта персональных данных или его представителя.

Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные.

Общество уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях №1, № 2, № 3, № 4 к настоящей Политике.

7.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».

Обеспечение безопасности персональных данных при их обработке в Обществе осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

Меры защиты, реализуемые Обществом при обработке персональных данных, включают:

• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных; 
• назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Общества;
• организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Обществе; 
• создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные; 
• организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные; 
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним; 
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации; 
• обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях; 
• установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Обществе мер по обеспечению безопасности персональных данных; 
• обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи или курьерской службы; 
• осуществление внутреннего контроля за соблюдением в Обществе законодательства Российской Федерации и локальных нормативных актов Общества при обработке персональных данных.

Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.