Политика обработки персональных данных

УТВЕРЖДАЮ
Директор ООО «КУЦ»
С. И. Чистяков

Общие положения

Настоящая Политика обработки персональных данных – ПДн (далее – Политика) ООО «КУЦ», ИНН 4401164860 (далее – Оператор) определяет основные принципы, цели, порядок и условия обработки, объем и категории обрабатываемых ПДн, категории субъектов ПДн, порядок реагирования на запросы субъектов ПДн, меры, реализуемые для обеспечения безопасности ПДн при их обработке Оператором.

1. Цели и принципы обработки ПДн

1.1. ПДн обрабатываются Оператором в целях, указанных в Приложении № 1 к настоящей Политике.

1.2. Обработка ПДн осуществляется на законной и справедливой основе.

1.3. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка ПДн, несовместимая с целями сбора ПДн.

1.4. Оператором не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

1.5. Оператор обрабатывает только те ПДн, которые отвечают целям их обработки.

1.6. Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.

1.7. При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

1.8. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.

1.9. Хранение ПДн осуществляется Оператором в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.10. Оператор обеспечивает конфиденциальность и безопасность ПДн при их обработке.

2. Правовые основания обработки ПДн

Обработка ПДн допускается Оператором в следующих случаях:

2.1. Обработка ПДн осуществляется с согласия субъекта персональных данных на обработку его ПДн.

2.2. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, в том числе, но не ограничиваясь, в целях выполнения требований:

• Трудового кодекса Российской Федерации;
• Налогового кодекса Российской Федерации;
• Гражданского кодекса Российской Федерации;
• Федеральный закон "Об образовании в Российской Федерации" от 29.12.2012 N 273-ФЗ
• Федерального закона от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании»;
• Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федерального закона от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
• Федерального закона от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Приказа Минтруда России № 988н, Минздрава России № 1420н от 31.12.2020 «Об утверждении перечня вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные медицинские осмотры при поступлении на работу и периодические медицинские осмотры»;
• Приказа Минздрава России от 28.01.2021 № 29н «Об утверждении Порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры»;
• Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации»;
• Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федерального закона от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
• Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719.

2.3. Обработка ПДн осуществляется в связи с участием лица в гражданском, административном судопроизводстве, судопроизводстве в арбитражных судах, в том числе, но не ограничиваясь, для исполнения требований:

• Гражданского процессуального кодекса Российской Федерации;
• Кодекса административного судопроизводства Российской Федерации;
• Кодекса Российской Федерации об административных правонарушениях;
• Арбитражного процессуального кодекса Российской Федерации.

2.4. Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, в том числе, но не ограничиваясь, для исполнения требований Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;

2.5. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

2.6. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

2.7. Обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

3. Категории субъектов, ПДн которых обрабатываются Оператором

Категории субъектов, чьи ПДн обрабатываются, указаны в Приложении № 1 к настоящей Политике.

4. Перечень ПДн, обрабатываемых в ООО «КУЦ»

4.1. Перечень ПДн определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора. Указанный перечень закреплен в приложении № 1 к настоящей Политике.

4.2. Обработка специальных категорий ПДн, касающихся сведений о состоянии здоровья, национальной принадлежности, осуществляется Оператором исключительно в случаях, предусмотренных ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка специальных категорий ПДн, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических ПДн Оператором не осуществляется.

4.3. Оператором осуществляется обработка ПДн с использованием web-порталов kucfps.ru, 220405.ru.

4.2.1. В целях идентификации web-порталов kucfps.ru, 220405.ru поисковой системой yandex.ru, а также учета частоты посещения страниц данных web-порталов Оператор использует службу Яндекс.Метрика, технологии cookies. В момент посещения пользователем той или иной страницы Оператора браузер пользователя, выполняя сервисные коды службы Яндекс.Метрика, передает в них информацию о факте посещения страницы, о времени посещения страницы, об адресе страницы, с которой произошел переход на текущую страницу, IP-адресе, данные об аппаратных событиях, файлы cookies, сведения о местоположении.

4.2.2. Персональные данные конкретного субъекта ПДн во время использования сайтов и программных продуктов могут быть сопоставлены и связаны друг с другом в едином личном кабинете пользователя в случае его идентификации по ID: телефон, почта с привязкой к ФИО.

4.3.3. Персональные данные пользователя, собранные в едином личном кабинете пользователя в составе: ФИО, телефоны (подтвержденный), Email личный (подтвержденный), дата рождения, пол, фото принадлежат одной персоне (субъекту ПДн), являются едиными для всех сайтов и программных продуктов, изменить или удалить персональные данные со всех сайтов и программных продуктов одновременно субъект может обратившись к оператору ПДн.

5. Трансграничная передача ПДн

Трансграничная передача ПДн осуществляется Оператором с соблюдением требований, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и международными договорами Российской Федерации.

6. Перечень действий, совершаемых оператором с персональными данными и способы их обработки

Оператор осуществляет: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); использование; передачу (предоставление, доступ); блокирование; удаление; уничтожение; распространение.

В зависимости от информационной системы, используемой Оператором, обработка ПДн может осуществляться путем:

• смешанной обработки: с передачей (и) или без передачи по внутренней сети Оператора, с передачей (и) или без передачи по сети интернет;
• автоматизированной обработки: с передачей (и) или без передачи по внутренней сети Оператора, с передачей (и) или без передачи по сети интернет;
• неавтоматизированной обработки персональных данных.

7. Сроки обработки ПДн

ПДн обрабатываются Оператором с соблюдением сроков, указанных в Приложении № 1 к настоящей Политике. Сроки обработки ПДн, в том числе их хранения, определены в соответствии с требованиями действующего законодательства, а также локальных нормативных актов.

8. Порядок и условия обработки ПДн

8.1. Обработка ПДн осуществляется Оператором при наличии оснований, определенных пп. 1 – 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.2. Оператор без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.

8.4. Обработку персональных данных субъектов персональных данных могут осуществлять обособленные подразделения (филиалы) и партнеры Оператора (на основании договора).

8.5. Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей (занимающим должности, включенные в перечень должностей ООО «КУЦ», при замещении которых осуществляется обработка ПДн), и с соблюдением принципов персональной ответственности.

8.6. Оператор обеспечивает раздельное хранение ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн.

8.7. Хранение материальных носителей ПДн осуществляется Оператором с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.

8.8. Обработка ПДн в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности ПДн, определённых с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах.

9. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения

9.1. Оператор в рамках своей деятельности может осуществлять распространение ПДн субъекта ПДн при наличии соответствующего согласия субъекта ПДн, полученного в строгом соответствии с законодательством РФ.

9.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий. Субъект ПДн самостоятельно может определить категории и перечень ПДн, разрешенных для распространения.

9.3. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить условия и запреты, накладываемые на перечень и категории ПДн разрешенных субъектом ПДн для распространения.

9.4. Распространение ПДн производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет».

10. Права и обязанности субъектов ПДн

10.1. Субъекты ПДн имеют право на:

• полную информацию об их ПДн, обрабатываемых Оператором;
• доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
• уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку ПДн;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;
• осуществление иных прав, предусмотренных законодательством Российской Федерации.

10.2. Для безопасной работы субъект ПДн/пользователь должен следовать следующим рекомендациям:

• использовать на рабочем месте исключительно лицензионное программное обеспечение;
• устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
• устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;
• не загружать программы и данные из непроверенных источников, не посещать сайты сомнительного содержания;
• не заходить в личный кабинет со случайных компьютеров;
• не передавать кому-либо токены для авторизации на портале либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.

10.3. При использовании субъектом ПДн функционала программного обеспечения Оператора может применяться технология cookies. Субъект ПДн вправе ограничить или запретить использование технологии cookies путем применения соответствующих настроек в браузере.

11. Обеспечение защиты ПДн при их обработке Оператором

Оператор принимает меры, необходимые для обеспечения выполнения обязанностей, предусмотренных законодательством. К таким мерам относятся:

• назначение Оператором ответственного за обработку ПДн и ответственного за безопасность при обработке ПДн;
• издание Оператором документов, определяющих политику оператора в отношении обработки ПДн, локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов;
• установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности ПДн;
• хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
• осуществление внутреннего контроля и (или) аудита в отношении обработки ПДн;
• определение оценки вреда, который может быть причинен субъектам ПДн;
• организация обучения и проведение методической работы с работниками обособленных подразделений Оператора, занимающих должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка ПДн;
• ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

12. Контроль за соблюдением законодательства РФ и локальных нормативных актов Оператора в области обработки ПДн

Контроль осуществляется лицом, ответственным за организацию обработки ПДн в ООО «КУЦ», а в обособленных подразделениях Оператора - лицами, назначенными таковыми.

13. Актуализация, исправление, удаление, уничтожение ПДн

13.1. В случае представления субъектом ПДн сведений о неполных, устаревших, недостоверных или незаконно полученных ПДн Оператор обязан принять меры:

• в случае подтверждения факта недостоверности ПДн подлежат их актуализации оператором;
• в случае неправомерности обработки ПДн такая обработка должна быть прекращена.

13.2. При достижении целей обработки ПДн (в том числе по окончании сроков хранения персональных данных, предусмотренных действующим законодательством), а также в случае истечения срока согласия на обработку ПДн или отзыва субъектом ПДн согласия на их обработку ПДн подлежат удалению, уничтожению способом, исключающим возможность последующего восстановления информации, в порядке, предусмотренном Регламентом учета, хранения и уничтожения носителей персональных данных в ООО «КУЦ», утвержденным директором, если:

• иное не предусмотрено договором, выгодоприобретателем или поручителем по которому выступает субъект ПДн;
• оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ (О персональных данных) или иными федеральными законами.

14. Реагирование на запросы субъектов ПДн

14.1. Порядок рассмотрения запросов по ПДн

14.1.1. Датой поступления запроса субъекта ПДн Оператору считается дата регистрация данного запроса в качестве входящей корреспонденции в «Журнале учета обращений граждан (субъектов ПДн) по вопросам обработки ПДн».

14.1.2. Срок регистрации запроса составляет 3 рабочих дня со дня получения запроса Оператором.

14.1.3. Субъект ПДн или его представитель имеет право получение информации, касающейся обработки его ПДн, в том числе содержащей: подтверждение обработки ПДн, а также правовые основания и цели такой обработки; способы обработки ПДн; сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона; перечень обрабатываемых ПДн и источник их получения; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора; информацию о мерах, предпринятых оператором; иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ.

14.1.4. Запросы субъектов ПДн, касающиеся обработки ПДн Оператором, в том числе запросы на уничтожение или уточнение ПДн, рассматриваются в сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ.

14.1.5. Оператор предоставляет сведения, указанные в п. 14.1.3., субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано.

14.2. Требования к оформлению запросов от субъектов ПДн.

14.2.1. Запрос субъекта ПДн или его представителя подается в письменной форме одним из следующих способов:

• по почте в адрес Оператора: 156000 г. Кострома, Костромская область, ул. Советская, 19;
• по электронной почте: sdo@kucfps.ru.

14.2.2. Запрос на получение информации, касающейся обработки ПДн, предоставляется субъектом ПДн в произвольной форме и должен содержать следующие необходимые сведения о субъекте ПДн: номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором; подпись субъекта ПДн или его представителя.

14.2.3. Запрос/требование на прекращение передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения, должно включать в себя фамилию, имя, отчество, контактную информацию субъекта ПДн, перечень ПДн, обработка которых подлежит прекращению, а также информационный ресурс, на котором они размещены.

14.2.4. К обработке принимаются запросы, оформленные в соответствии с требованиями действующего законодательства.

15. Заключительные положения

Положения настоящей Политики вступают в силу с момента ее утверждения и действуют до ее отмены.

Перечень целей, сроков, способов обработки персональных данных, категорий субъектов и обрабатываемых персональных данных

№ п/п	Цели обработки ПДн	Категории субъектов ПДн	Перечень обрабатываемых ПДн	Способ обработки ПДн	Сроки обработки и хранения ПДн
1	Ведение кадрового и бухгалтерского учета	Работники; Родственники работников; Уволенные работники; Родственники уволенных работников; Работники по договорам ГПХ	Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; национальность; данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; военно-учетная специальность; категория годности; воинское звание; состав (профиль), наименование в/к по месту воинского учета; водительское удостоверение (серия, номер, категория ТС, дата выдачи); сведения об образовании; сведения о повышении квалификации; данные документа об образовании (наименование учебного заведения, год окончания, специальность, номер и серия документа); сведения о месте учебы (для лиц, получающих образование); возраст; срок действия регистрации; табельный номер; структурное подразделение; сведения о приеме на работу и переводе на другую работу; состояние здоровья (сведения о временной нетрудоспособности, номер и серия листка нетрудоспособности; заключение предварительного (периодического) медицинского осмотра (обследования); статус получателя (резидент/не резидент); реквизиты для перевода (банковский счет); страховой стаж; сведения о стажировке	Смешанная	До прекращения договорных и (или) иных отношений между Оператором и субъектом ПДн и истечения сроков хранения информации, установленных действующим законодательством.
2	Проведение обучающих семинаров/вебинаров, реализация профессиональных программ	Работники; Участники семинаров/ вебинаров; Слушатели профессиолнального обучения;	Фамилия, имя, отчество; дата рождения; адрес электронной почты; номер телефона; фото- изображение, СНИЛС, должность, место работы	Автоматизированная; Смешанная	До отзыва субъектом согласия на обработку ПДн