Безопасность персональных данных — состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Процесс обработки персональных данных — бизнес-процесс Компании, в рамках которого осуществляется обработка персональных данных.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Субъектами персональных данных являются: клиенты, представители и родственники клиентов, работники Компании и кандидаты на устройство, работники контрагентов Компании и прочие физические лица, чьи персональные данные обрабатываются в Компании.
В настоящей Политике применены следующие обозначения и сокращения:
ИСПДн – информационная система персональных данных;
Компания – OOO «Смарт Констракшн»;
ПДн – персональные данные;
Политика – Политика в области обработки и защиты персональных данных.
Во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, приказов ФСТЭК и ФСБ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов Компания обеспечивает легитимность обработки и безопасность ПДн в своей деятельности.
Принципами обработки ПДн в Компании являются:
● обработка ПДн осуществляется на законной и справедливой основе;
● обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
● не допускается обработка ПДн, несовместимая с целями сбора ПДн;
● не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
● обработке подлежат только ПДн, которые отвечают целям их обработки;
● содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
● при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
● хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, согласием на обработку ПДн, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
● обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
● обработка ПДн не используется в целях причинения имущественного и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
В соответствии с принципами обработки ПДн в Компании определены состав обрабатываемых ПДн и цели их обработки. Состав и цели обработки ПДн соответствуют требованиям действующего законодательства РФ в области обработки и защиты ПДн.
Компания при обработке ПДн преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта ПДн.
В Компании осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных, обрабатываемых в OOO «Смарт Констракшн».
В Компании осуществляется обработка следующих категорий субъектов персональных данных:
|
Цели обработки персональных данных |
Прохождение конкурсного отбора (рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства); ведение кадрового резерва с целью последующего трудоустройства; осуществление и выполнение возложенных законодательством РФ на Компанию функций, полномочий и обязанностей |
|
Цели обработки персональных данных |
Гражданско-правовые взаимоотношения (заключение, исполнение, сопровождение и завершение гражданско-правовых договоров); Исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами |
|
Цели обработки персональных данных |
Выполнение обязательств по договорам с контрагентами |
|
Цели обработки персональных данных |
Соблюдение исполнения прав и обязанностей сторон трудового договора; Исполнение законодательства РФ в сфере социального страхования, воинского учета, пенсионного обеспечения, налогового законодательства, исполнения требований других федеральных законов; Отражение информации в кадровых и бухгалтерских документах; Предоставление льгот и гарантий согласно действующему законодательству РФ, локальным нормативным актам и трудовому договору; Оформление полиса добровольного медицинского и других видов страхования; Оформление пропуска; Оформление доверенностей (копии паспорта); Оформление банковского счета для проведения банковских операций, необходимых в период действия трудового договора; Обеспечение командировок, деловых и личных поездок: виз, приглашений на въезд, приобретения авиа/железнодорожных билетов, заказ гостиниц и такси; Оформления членства в спортивных и иных клубах; Размещение персональных данных на сайте компании |
|
Цели обработки персональных данных |
Обеспечение соответствия требованиям Трудового кодекса РФ и других нормативных актов РФ; Содействие в получении социальных льгот, компенсаций и страхования |
Обработка ПДн осуществляется Компанией на законной основе. В случаях, предусмотренных действующим законодательством, Компания осуществляет получение согласия субъекта на обработку его ПДн по установленной действующим законодательством форме. Если Компания получает ПДн от третьего лица, то она в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи ПДн в Компанию.
Компания в ходе своей деятельности вправе поручать обработку ПДн третьему лицу, если иное не предусмотрено действующим законодательством. При этом обязательным условием поручения обработки ПДн (в виде договора или доверенности) другому лицу является обязанность по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке, а также обязательство третьего лица использовать данные исключительно в заранее определенных целях и объемах.
В Компании запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Обработка специальных категорий персональных данных в Компании возможна только при наличии письменного согласия субъекта.
Компания НЕ распространяет ПДн субъекта ПДн без его письменного согласия.
Компания организовывает процессы взаимодействия с субъектами ПДн таким образом, чтобы субъект мог обратиться в Компанию по всем предусмотренным в законодательстве вопросам, связанным с обработкой его ПДн (информация об обрабатываемых ПДн, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение).
Предоставление ПДн органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Компанией в случаях и в порядке, предусмотренных законодательством РФ.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в соответствии со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет иные права, определенные главой 3 Федерального закона «О персональных данных».
В Компании во внутренних документах, обязательных для исполнения всеми работниками Компании, а также партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
● процедуры предоставления доступа к ПДн;
● процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
● процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур;
● процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных законодательством, в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (его законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
● процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;
● процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Компании, имеющими доступ к ПДн;
● процедуры передачи ПДн третьим лицам;
● процедуры работы с материальными носителями ПДн.
С целью обеспечения безопасности ПДн при их обработке в Компании реализуются требования действующего законодательства в области обработки и обеспечения безопасности ПДн. Для этих целей в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПДн.
Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:
● разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
● защиту ПДн от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка ПДн осуществляется);
● определение и внедрение перед введением новых процессов обработки ПДн и новых ИСПДн, технических и организационных мер, обеспечивающих защиту ПДн, ориентированных на современный уровень техники и необходимую степень защиты данных;
● определение угроз безопасности ПДн при их обработке в ИСПДн;
● использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
● установление правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
● контроль и оценку эффективности применяемых мер (в том числе с привлечением аудиторских проверок);
● обнаружение фактов несанкционированного доступа к ПДн (и других инцидентов с ПДн) и принятие мер;
● восстановление ПДн.
В части обеспечения конфиденциальности обработки Компания предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования ПДн, в том числе:
● предоставление доступа к ПДн только в случаях и в порядке, предусмотренном законодательством;
● ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Компании в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности ПДн. Руководство Компании заинтересовано в обеспечении безопасности ПДн, обрабатываемых в рамках выполнения основной деятельности Компании, как с точки зрения требований действующего законодательства, так и с точки зрения минимизации рисков.
Компания может время от времени вносить изменения в настоящую Политику без предварительного уведомления субъектов персональных данных и регулирующих органов, ответственных за контроль соблюдения норм обработки и обеспечения безопасности персональных данных. Любые изменения вступают в силу с момента их публикации на нашем веб-сайте. Контроль исполнения требований настоящей Политики, а также ее своевременная актуализация осуществляется лицом, ответственным за организацию обработки персональных данных. Ответственность работников Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.
Любые обращения, касающиеся обработки персональных данных, направляются с помощью электронной почты, указанной в контактах на сайте.
Адрес
121205, г. Москва,
территория Сколково инновационного центра,
ул. Нобеля, д. 5, офис 3/27,28,29,1,2,3
Телефон
Электронная почта
SmartBuild