Политика обработки персональных данных

ООО «Тензотехсервис»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение и сфера применения

Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «Тензотехсервис», (далее — Оператор, Компания).

Политика распространяется на все операции с персональными данными работников, кандидатов на работу, контрагентов (физических лиц, индивидуальных предпринимателей, представителей юридических лиц), партнеров, клиентов, посетителей офисных и производственных помещений и иных субъектов персональных данных, обрабатываемых с использованием средств автоматизации и без таких средств.

Основная деятельность Компании: производство и поставка промышленного оборудования, включая бетонные заводы, заводы сухих строительных смесей, весовое оборудование (автомобильные и железнодорожные весы, тензодатчики), разработка и внедрение автоматических систем управления технологическими процессами (АСУ ТП), программное обеспечение для автоматизации производства, монтаж, пуско-наладка, модернизация и обслуживание промышленного оборудования, торговля оптовая неспециализированная.

1.2. Нормативная база

Политика разработана в соответствии с:

• Конституцией Российской Федерации;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Трудовым кодексом Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Налоговым кодексом Российской Федерации;
• Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.

1.3. Основные понятия

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания при обработке персональных данных руководствуется следующими принципами:

• Законность — обработка персональных данных осуществляется на законной и справедливой основе;
• Целевое назначение — обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• Соответствие объема и содержания — содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• Точность и достоверность — Компания принимает необходимые меры по обеспечению точности, полноты и актуальности обрабатываемых персональных данных по отношению к целям обработки;
• Ограниченность срока хранения — персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
• Конфиденциальность — не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания;
• Безопасность — применяются правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ

3.1. Работники Компании

Категории субъектов:

• Работники, состоящие в трудовых отношениях с Компанией;
• Внешние совместители;
• Работники, находящиеся в отпуске (в том числе декретном, по уходу за ребенком);
• Работники, направленные на обучение;
• Бывшие работники (уволенные).

Цели обработки:

• Заключение, исполнение и прекращение трудового договора в соответствии с трудовым законодательством РФ;
• Ведение кадрового учета и кадрового делопроизводства;
• Оформление и ведение личных дел работников;
• Обеспечение внутреннего кадрового документооборота;
• Исполнение обязательств по предоставлению работникам гарантий и компенсаций в соответствии с законодательством РФ;
• Исчисление и выплата заработной платы, премий, компенсаций, иных выплат;
• Исполнение обязанностей по исчислению, удержанию и перечислению в бюджет налогов и сборов;
• Исполнение обязанностей по представлению отчетности в государственные органы (налоговые органы, органы статистики, органы соцстраха, Пенсионный фонд РФ и др.);
• Обеспечение личной безопасности работников, сохранности имущества Компании (организация пропускного и внутриобъектного режимов, видеонаблюдение);
• Обеспечение соблюдения работниками внутреннего трудового распорядка, правил охраны труда и техники безопасности;
• Организация обучения и повышения квалификации;
• Организация медицинских осмотров;
• Выполнение требований законодательства о воинском учете;
• Рассмотрение и разрешение трудовых споров;
• Обеспечение взаимодействия с профсоюзными и иными представительными органами работников.

Правовые основания:

• Трудовой кодекс РФ (статьи 65, 86, 90 и др.);
• Налоговый кодекс РФ;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Трудовой договор;
• Согласие работника на обработку персональных данных (в случаях, когда обработка требует согласия).

3.2. Кандидаты на работу

Категории субъектов:

• Соискатели, направившие резюме в Компанию;
• Кандидаты, проходящие собеседование и отбор.

Цели обработки:

• Рассмотрение кандидатуры на замещение вакантной должности;
• Проведение собеседований и оценки профессиональных качеств;
• Формирование кадрового резерва;
• Направление уведомлений о результатах рассмотрения кандидатуры.

Правовые основания:

• Трудовой кодекс РФ (статьи 64, 65);
• Согласие субъекта персональных данных.

3.3. Контрагенты и их представители

Категории субъектов:

• Физические лица — контрагенты (покупатели, клиенты физические лица);
• Индивидуальные предприниматели — контрагенты;
• Представители юридических лиц — контрагентов (руководители, подписанты договоров, контактные лица, работники контрагентов);
• Представители по доверенности;
• Потенциальные клиенты и контрагенты.

Цели обработки:

• Заключение, исполнение, изменение и расторжение гражданско-правовых договоров;
• Ведение договорной работы и претензионной работы;
• Осуществление расчетов по договорам;
• Исполнение обязанностей по бухгалтерскому и налоговому учету;
• Выполнение требований законодательства в области противодействия легализации доходов, полученных преступным путем, и финансированию терроризма;
• Организация доставки товаров и оказания услуг;
• Обеспечение связи с контрагентами (направление коммерческих предложений, уведомлений, информирование о новых продуктах и услугах);
• Обеспечение пропускного режима (допуск представителей контрагентов на территорию Компании);
• Ведение клиентской базы данных;
• Проведение маркетинговых исследований и анализа рынка;
• Рассмотрение и разрешение претензий и споров.

Правовые основания:

• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Договор;
• Согласие субъекта персональных данных (в случаях, когда обработка требует согласия).

3.4. Посетители

Категории субъектов:

• Посетители офисных помещений и территории Компании;
• Посетители сайта Компании;
• Участники мероприятий, проводимых Компанией.

Цели обработки:

• Обеспечение пропускного и внутриобъектового режимов;
• Обеспечение безопасности и защиты имущества (видеонаблюдение);
• Ведение журналов регистрации посетителей;
• Обеспечение функционирования сайта Компании;
• Обработка обращений и запросов посетителей сайта;
• Рассылка информационных и маркетинговых материалов (при наличии согласия).

Правовые основания:

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Согласие субъекта персональных данных;
• Правомерные интересы Оператора (обеспечение безопасности, защита имущества).

4. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Общие категории персональных данных

Компания осуществляет обработку следующих персональных данных:

• Фамилия, имя, отчество (полностью);
• Год, месяц и дата рождения;
• Место рождения;
• Пол;
• Гражданство;
• Семейное положение;
• Адрес места жительства (фактический);
• Адрес регистрации по месту жительства (постоянная или временная регистрация);
• Номер контактного телефона (мобильный, домашний);
• Адрес электронной почты;
• СНИЛС (страховой номер индивидуального лицевого счета);
• ИНН (идентификационный номер налогоплательщика);
• Данные документа, удостоверяющего личность (паспорт гражданина РФ: серия, номер, дата выдачи, орган, выдавший документ, код подразделения);
• Данные, содержащиеся в свидетельстве о рождении (для несовершеннолетних детей работников);
• Реквизиты банковской карты (номер карты, срок действия — для целей выплаты заработной платы);
• Номер расчетного счета (банковские реквизиты для перечисления денежных средств);
• Номер лицевого счета;
• Профессия;
• Должность;
• Сведения о трудовой деятельности (стаж работы, данные о текущем месте работы, наименование организации-работодателя, реквизиты трудового договора, трудовой книжки);
• Сведения об образовании (уровень образования, наименование учебного заведения, год окончания, специальность, квалификация, реквизиты диплома);
• Отношение к воинской обязанности, сведения о воинском учете (военный билет, приписное свидетельство, категория годности, состав, звание);
• Фото-видео изображение лица (фотографии для пропусков, видеозаписи с камер наблюдения).

Особенности обработки данных партнеров и контрагентов:

Для целей ведения договорной работы и взаимодействия с партнерами (физическими лицами, индивидуальными предпринимателями, представителями юридических лиц) Компания дополнительно обрабатывает следующие данные:

• Реквизиты организации-контрагента (наименование, ИНН, КПП, ОГРН, ОКПО, ОКВЭД, юридический и фактический адреса);
• Банковские реквизиты организации-контрагента (расчетный счет, наименование банка, корреспондентский счет, БИК);
• Должность и контактные данные руководителя и ответственных лиц контрагента;
• Официальный сайт контрагента;
• Копии учредительных и регистрационных документов контрагента.

4.2. Биометрические персональные данные

Компания осуществляет обработку биометрических персональных данных (фото-видео изображений лица) в следующих целях:

• Обеспечение контроля доступа на территорию и в помещения Компании;
• Обеспечение безопасности работников, посетителей и имущества Компании;
• Видеонаблюдение в служебных помещениях и на прилегающей территории;
• Оформление пропусков, удостоверений личности.

Обработка биометрических персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ (в частности, для обеспечения безопасности на основании правомерных интересов Оператора).

4.3. Иные персональные данные

Компания также может обрабатывать иные персональные данные, необходимые для достижения целей обработки, установленных настоящей Политикой, в том числе:

• Сведения, собираемые посредством метрических программ и систем аналитики (cookie-файлы, IP-адреса, данные о браузере и устройстве, информация о посещенных страницах сайта) — при посещении сайта Компании;
• Иные персональные данные, предоставленные субъектом добровольно или необходимые для исполнения договорных обязательств.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общие условия обработки

Обработка персональных данных в Компании осуществляется при соблюдении следующих условий:

• Обработка персональных данных осуществляется на законной и справедливой основе;
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
• При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

5.2. Способы обработки персональных данных

Компания осуществляет обработку персональных данных следующими способами:

• Автоматизированная обработка — с использованием средств вычислительной техники, программного обеспечения и информационных систем;
• Неавтоматизированная (бумажная) обработка — обработка персональных данных, содержащихся в бумажных документах (трудовые книжки, личные дела, договоры, приказы и др.), осуществляемая без использования средств автоматизации.

5.3. Операции с персональными данными

В рамках обработки персональных данных Компания совершает следующие операции (действия):

• Сбор — получение персональных данных от субъекта персональных данных, а также от третьих лиц с соблюдением требований законодательства;
• Запись — фиксация персональных данных на материальном носителе (бумажном, электронном);
• Систематизация — упорядочение персональных данных по определенным критериям (по алфавиту, по датам, по категориям и т.п.);
• Накопление — сохранение и пополнение объема персональных данных в информационных системах;
• Хранение — обеспечение сохранности и целостности персональных данных в течение установленного срока;
• Уточнение (обновление, изменение) — внесение изменений в персональные данные для обеспечения их актуальности и достоверности;
• Извлечение — получение доступа к персональным данным из информационных систем или материальных носителей;
• Использование — применение персональных данных для достижения целей обработки;
• Передача (распространение, предоставление, доступ) — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Обезличивание — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
• Блокирование — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Удаление — действия, в результате которых персональные данные удаляются из информационной системы безвозвратно;
• Уничтожение — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

5.4. Сроки обработки и хранения персональных данных

Сроки обработки и хранения персональных данных определяются исходя из целей обработки, требований законодательства РФ, а также внутренних нормативных документов Компании.

Категория субъектов	Срок хранения
Работники (действующие)	В течение всего периода трудовых отношений
Бывшие работники	В соответствии с требованиями законодательства: - личные дела: 75 лет (50 лет для дел, завершенных после 2003 года); - приказы по личному составу: 75 лет; - трудовые договоры: 75 лет; - лицевые счета по заработной плате: 75 лет
Кандидаты на работу	Не более 3 лет с момента последнего взаимодействия (при наличии согласия)
Контрагенты (физические лица, ИП)	В течение срока действия договора + 5 лет после окончания договорных отношений (в соответствии с требованиями налогового и бухгалтерского учета)
Представители юридических лиц	В течение срока действия договора с юридическим лицом + 5 лет
Посетители (журналы учета)	3 года
Видеозаписи	Не более 30 суток (если не используются для расследования инцидентов)
Аудиозаписи (телефония)	Не более 90 суток

По истечении указанных сроков персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законодательством РФ.

5.5. Трансграничная передача персональных данных

Компания не осуществляет трансграничную передачу персональных данных на территорию иностранных государств, за исключением случаев, когда такая передача является необходимой для исполнения договоров с контрагентами или для защиты прав и законных интересов субъектов персональных данных.

В случае необходимости осуществления трансграничной передачи персональных данных Компания:

• Убеждается в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных;
• Получает письменное согласие субъекта персональных данных на трансграничную передачу его персональных данных;
• Включает в договоры с иностранными партнерами условия об обеспечении конфиденциальности и защиты персональных данных.

6. ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Случаи получения согласия

Письменное согласие субъекта персональных данных на обработку его персональных данных требуется в следующих случаях:

• Обработка специальных категорий персональных данных (сведения о состоянии здоровья, национальность, политические взгляды, религиозные убеждения, судимость);
• Обработка биометрических персональных данных (фото, видеоизображение, голос);
• Обработка персональных данных в целях продвижения товаров, работ и услуг на рынке (маркетинг, реклама);
• Передача персональных данных третьим лицам, не предусмотренная законодательством или договором;
• Трансграничная передача персональных данных;
• Обработка персональных данных кандидатов на работу;
• Иные случаи, предусмотренные законодательством РФ.

6.2. Форма согласия

Согласие на обработку персональных данных оформляется в письменной форме (на бумажном носителе или в электронном виде с использованием простой или усиленной квалифицированной электронной подписи).

Согласие должно содержать следующие сведения:

• Фамилию, имя, отчество, адрес субъекта персональных данных, реквизиты документа, удостоверяющего личность;
• Наименование (фамилия, имя, отчество) и адрес Оператора;
• Цель обработки персональных данных;
• Перечень персональных данных, на обработку которых дается согласие;
• Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
• Срок, в течение которого действует согласие, и порядок его отзыва;
• Подпись субъекта персональных данных.

6.3. Отзыв согласия

Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных, уведомив об этом Компанию путем направления письменного заявления в произвольной форме в адрес Компании по месту её нахождения в бумажном виде, на электронную почту: AhmetshinaER@tts-kazan.ru, иным способом, позволяющим однозначно определить факт его получения адресатом.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных имеет право:

1. На получение информации — получать от Оператора информацию, касающуюся обработки его персональных данных:
   • подтверждение факта обработки персональных данных Оператором;
   • правовые основания и цели обработки персональных данных;
   • применяемые Оператором способы обработки персональных данных;
   • наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
   • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
   • сроки обработки персональных данных, в том числе сроки их хранения;
   • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
   • иную информацию, предусмотренную законодательством РФ.
2. На доступ к персональным данным — требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3. На отзыв согласия — отозвать согласие на обработку персональных данных путем направления письменного заявления Оператору.
4. На защиту своих прав — обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке в случае, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства РФ или иным образом нарушает его права и свободы.
5. На возмещение убытков — на возмещение убытков и (или) компенсацию морального вреда в судебном порядке в случае нарушения Оператором прав субъекта персональных данных.
6. На получение при обращении к Оператору или получение от Оператора бесплатной информации об обрабатываемых Оператором персональных данных субъекта.

8. ОБЯЗАННОСТИ ОПЕРАТОРА

Оператор обязан:

1. Предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, либо предоставлять на законных основаниях мотивированный отказ в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя;
2. Осуществлять обработку персональных данных в соответствии с требованиями законодательства РФ;
3. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона № 152-ФЗ;
4. Сообщать в Роскомнадзор по его требованию необходимую информацию в течение 30 дней с даты получения такого требования;
5. Опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных;
6. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
7. Уведомлять Роскомнадзор об обработке персональных данных в случаях, установленных законодательством;
8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу Роскомнадзора устранить допущенные нарушения в срок, не превышающий трех рабочих дней с момента выявления нарушения;
9. В случае недостоверности персональных данных, неправомерной их обработки — уточнить, заблокировать или уничтожить соответствующие персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих эти факты;
10. При отзыве субъектом персональных данных согласия на обработку персональных данных прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных.

9. ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Перечень информационных систем

В Компании функционируют следующие информационные системы персональных данных (ИСПДн):

№	Наименование ИСПДн	Цели обработки
1	1С:Бухгалтерия	Ведение бухгалтерского и налогового учета, расчет заработной платы
2	1С:Зарплата и управление персоналом	Кадровый учет, расчет и выплата заработной платы, начисление налогов
3	CRM Битрикс24	Управление взаимоотношениями с клиентами, ведение клиентской базы
4	Корпоративная электронная почта	Обмен служебными сообщениями, передача документов
5	Система документооборота (ERP-система)	Управление документами, согласование, контроль исполнения
6	Сайт tts-kazan.ru	Приём и обработка заявок пользователей через формы обратной связи (имя, телефон, e-mail, текст обращения)
7	Система видеонаблюдения	Обеспечение безопасности, охрана имущества, контроль доступа
8	Система телефонии	Обработка входящих и исходящих звонков, запись разговоров (при согласии)
9	Сервис Роистат	Сквозная аналитика заявок и звонков, отслеживание источников обращений
10	Яндекс.Метрика	Сбор обезличенных аналитических данных о посетителях сайта (cookies, поведенческие данные)
11	Система контроля и управления доступом (СКУД)	Управление доступом сотрудников и посетителей на территорию и в помещения

9.2. Уровни защищенности ИСПДн

Для каждой информационной системы персональных данных Компанией определен уровень защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

Определение уровня защищенности осуществляется исходя из:

• Категории обрабатываемых персональных данных;
• Объема обрабатываемых персональных данных (количество субъектов);
• Структуры информационной системы (локальная, распределенная);
• Угроз безопасности персональных данных.

В Компании эксплуатируются ИСПДн следующих уровней защищенности:

• Уровень защищенности 1 (УЗ-1) — для систем, содержащих специальные категории персональных данных и биометрические персональные данные (система видеонаблюдения, система телефонии с записью голоса);
• Уровень защищенности 2 (УЗ-2) — для систем, содержащие общие категории персональных данных, связанные с трудовыми отношениями и финансовыми расчетами (1С, кадровые системы, CRM);
• Уровень защищенности 3 (УЗ-3) — для систем с ограниченным объемом обрабатываемых данных.

9.3. Доступ к ИСПДн

Доступ к информационным системам персональных данных предоставляется на основании приказа руководителя Компании и осуществляется с применением средств идентификации и аутентификации пользователей (логин и пароль, электронные ключи).

Перечень работников Компании, имеющих доступ к персональным данным, определяется исходя из должностных обязанностей и утверждается внутренними нормативными документами Компании.

10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

10.1. Случаи передачи персональных данных

Компания вправе передавать персональные данные третьим лицам в следующих случаях:

1. Передача на основании законодательства РФ:
   • Налоговым органам — для целей налогообложения;
   • Органам Пенсионного фонда РФ и Фонда социального страхования РФ — для целей пенсионного и социального страхования;
   • Органам статистики — для предоставления статистической отчетности;
   • Органам внутренних дел, прокуратуры, суда — по их мотивированным запросам в рамках их полномочий;
   • Военным комиссариатам — для целей воинского учета;
   • Иным государственным органам и организациям в случаях, установленных законодательством РФ.
2. Передача на основании согласия субъекта персональных данных:
   • Кредитным организациям (банкам) — для целей перечисления заработной платы, оформления кредитов и банковских продуктов;
   • Страховым компаниям — для оформления полисов обязательного и добровольного страхования;
   • Медицинским организациям — для организации медицинских осмотров и диспансеризации;
   • Партнерам и аффилированным лицам — для исполнения договорных обязательств, оказания услуг;
   • Маркетинговым и рекламным агентствам — для проведения маркетинговых исследований и рекламных кампаний (при наличии согласия).
3. Передача на основании договора:
   • Контрагентам — для исполнения гражданско-правовых договоров;
   • Логистическим и курьерским компаниям — для доставки товаров;
   • Поставщикам услуг связи — для обеспечения телефонной и интернет-связи.

10.2. Поручение обработки персональных данных

Компания вправе поручить обработку персональных данных другим лицам (обработчикам) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этими лицами договора.

Обработчик персональных данных обязуется:

• Обрабатывать персональные данные только в целях, указанных в договоре с Оператором;
• Соблюдать конфиденциальность персональных данных;
• Обеспечивать безопасность персональных данных при их обработке;
• Не передавать персональные данные третьим лицам без письменного согласия Оператора;
• По окончании срока действия договора — уничтожить персональные данные или возвратить их Оператору.

Компания осуществляет контроль за соблюдением обработчиками требований законодательства о персональных данных и условий договора.

11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.1. Правовые меры

• Разработка и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных (Политика, положения, инструкции, регламенты);
• Назначение лица, ответственного за организацию обработки персональных данных;
• Определение перечня лиц, допущенных к обработке персональных данных;
• Заключение с работниками, имеющими доступ к персональным данным, соглашений о неразглашении (о конфиденциальности);
• Включение в трудовые договоры и должностные инструкции положений об ответственности за разглашение и неправомерное использование персональных данных;
• Ознакомление работников под подпись с требованиями законодательства РФ и локальными актами по вопросам обработки и защиты персональных данных.

11.2. Организационные меры

• Организация режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа;
• Организация пропускного режима на территорию и в помещения Компании (система контроля и управления доступом, видеонаблюдение, охрана);
• Назначение лиц, ответственных за обеспечение безопасности персональных данных в информационных системах;
• Организация учета машинных носителей персональных данных (жесткие диски, флеш-накопители, CD/DVD-диски) и их защита от несанкционированного доступа;
• Разработка правил работы с персональными данными, включающих порядок доступа, порядок хранения, порядок уничтожения;
• Проведение мероприятий по обучению работников основам обработки и защиты персональных данных;
• Осуществление внутреннего контроля соблюдения требований законодательства о персональных данных;
• Реагирование на инциденты, связанные с нарушением безопасности персональных данных, расследование причин утечек;
• Уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

11.3. Технические меры

• Средства идентификации и аутентификации: применение парольной защиты доступа к компьютерам, информационным системам и приложениям; использование электронных ключей и токенов для усиленной аутентификации;
• Средства управления доступом: разграничение прав доступа пользователей к информационным ресурсам в соответствии с их должностными обязанностями; реализация принципа минимальных привилегий;
• Средства регистрации и учета: ведение журналов (логов) доступа и действий пользователей в информационных системах; мониторинг событий безопасности;
• Антивирусная защита: использование сертифицированных средств антивирусной защиты (Kaspersky Internet Security); регулярное обновление антивирусных баз; сканирование файлов и электронных сообщений на предмет вредоносного кода;
• Межсетевое экранирование (firewall): установка межсетевых экранов на границе корпоративной сети для фильтрации входящего и исходящего трафика;
• Система обнаружения и предотвращения вторжений (IDS/IPS): мониторинг сетевой активности для выявления подозрительных действий и атак;
• Средства криптографической защиты информации (СКЗИ): шифрование персональных данных при передаче по открытым каналам связи (SSL/TLS); шифрование персональных данных при хранении на съемных носителях и резервных копиях;
• Организационные и технические меры контроля доступа: разграничение прав доступа к информационным системам, обрабатывающим персональные данные; ведение журналов действий пользователей; регулярный пересмотр прав доступа сотрудников.
• Резервное копирование: регулярное создание резервных копий баз данных, содержащих персональные данные; хранение резервных копий в защищенных хранилищах с ограниченным доступом;
• Обновление программного обеспечения: своевременная установка обновлений безопасности операционных систем, приложений, СУБД;
• Защита автоматизированных рабочих мест (АРМ): установка средств защиты информации на рабочих местах пользователей; блокировка USB-портов (при необходимости); автоматическая блокировка экрана при отсутствии активности пользователя;
• Защита серверов и сетевого оборудования: размещение серверов в защищенных серверных помещениях с контролем доступа; резервирование каналов связи и источников питания.

11.4. Уничтожение персональных данных

Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем:

• Сжигания;
• Измельчения с использованием шредеров (уничтожителей бумаг).

Уничтожение персональных данных, содержащихся в информационных системах и на электронных носителях, осуществляется путем:

• Безвозвратного удаления файлов с использованием программных средств гарантированного уничтожения информации (перезапись случайными данными);
• Физического уничтожения носителей информации (жесткие диски, флеш-накопители, оптические диски).

Факт уничтожения персональных данных фиксируется актом об уничтожении персональных данных.

12. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Ответственное лицо

Ответственным за организацию обработки персональных данных в Компании приказом руководителя назначен главный бухгалтер Ахметшина Эльвира Рашитовна.

Ответственное лицо осуществляет:

• Организацию обработки персональных данных в соответствии с требованиями законодательства РФ;
• Контроль за соблюдением работниками Компании требований законодательства о персональных данных и локальных нормативных актов;
• Организацию разработки и актуализации локальных актов по вопросам обработки и защиты персональных данных;
• Организацию обучения работников основам законодательства о персональных данных;
• Рассмотрение обращений субъектов персональных данных и подготовку ответов на них;
• Взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (Роскомнадзором);
• Организацию внутреннего контроля соблюдения требований законодательства о персональных данных.

Контактные данные ответственного лица:

• Телефон: +7 (905) 189-84-21
• Электронная почта: AhmetshinaER@tts-kazan.ru

12.2. Лица, допущенные к обработке персональных данных

Перечень работников, допущенных к обработке персональных данных, утверждается приказом руководителя Компании.

С работниками, допущенными к обработке персональных данных, заключаются соглашения о неразглашении (конфиденциальности).

Работники, допущенные к обработке персональных данных, обязаны:

• Соблюдать конфиденциальность персональных данных;
• Обрабатывать персональные данные только в рамках своих должностных обязанностей и в соответствии с установленными целями;
• Не разглашать персональные данные третьим лицам без согласия субъекта персональных данных или наличия иного законного основания;
• Соблюдать требования законодательства о персональных данных и локальных нормативных актов Компании;
• Немедленно сообщать ответственному лицу о выявленных фактах нарушения требований законодательства о персональных данных, об инцидентах, связанных с безопасностью персональных данных.

12.3. Уведомление Роскомнадзора

Компания направляет в Роскомнадзор уведомление об обработке персональных данных в случаях, установленных законодательством РФ (если обработка осуществляется без использования средств автоматизации либо при наличии специальных категорий персональных данных).

Уведомление направляется до начала обработки персональных данных и содержит сведения, предусмотренные частью 3 статьи 22 Федерального закона № 152-ФЗ.

13. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Порядок направления запросов

Субъект персональных данных или его представитель вправе обратиться в Компанию с запросом, касающимся обработки его персональных данных.

Запрос может быть направлен следующими способами:

• Лично по адресу: 115280, г. Москва, ул. Ленинская слобода, д. 26, стр. 28, офис 137;
• Почтовым отправлением по указанному выше адресу;
• По электронной почте: AhmetshinaER@tts-kazan.ru;
• Через форму обратной связи на официальном сайте Компании: www.tts-kazan.ru.

Запрос должен содержать:

• Фамилию, имя, отчество субъекта персональных данных;
• Номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
• Сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• Подпись субъекта персональных данных (для письменных запросов).

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

13.2. Сроки рассмотрения запросов

Компания обязана рассмотреть запрос субъекта персональных данных и направить ответ в течение 30 дней с даты получения запроса.

В случае необходимости получения дополнительных сведений для идентификации субъекта персональных данных или уточнения информации, указанной в запросе, Компания вправе запросить у субъекта персональных данных дополнительную информацию. В этом случае срок рассмотрения запроса исчисляется с момента предоставления субъектом персональных данных запрашиваемой информации.

13.3. Содержание ответа

В ответе на запрос субъекта персональных данных Компания предоставляет следующую информацию:

• Подтверждение факта обработки персональных данных Компанией;
• Правовые основания и цели обработки персональных данных;
• Применяемые Компанией способы обработки персональных данных;
• Наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
• Перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
• Информация об осуществленной или о предполагаемой трансграничной передаче персональных данных;
• Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
• Иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ, в том числе если доступ нарушает права и законные интересы третьих лиц.

13.4. Отказ в предоставлении информации

Компания вправе отказать субъекту персональных данных в предоставлении информации в следующих случаях:

• Обращение не содержит сведений, необходимых для идентификации субъекта персональных данных;
• Запрошенная информация не относится к субъекту персональных данных, направившему запрос;
• Предоставление информации нарушает права и законные интересы третьих лиц;
• В иных случаях, предусмотренных законодательством РФ.

Отказ в предоставлении информации должен быть мотивированным.

14. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

14.1. Виды инцидентов

Инцидентом в области безопасности персональных данных признается:

• Несанкционированный доступ к персональным данным;
• Утрата, хищение носителей персональных данных;
• Неправомерная передача, распространение, предоставление персональных данных;
• Уничтожение, изменение, блокирование персональных данных;
• Иные действия (бездействие), в результате которых нарушается безопасность персональных данных.

14.2. Действия при выявлении инцидента

При выявлении инцидента работник, обнаруживший инцидент, обязан:

• Незамедлительно сообщить о факте инцидента ответственному лицу за организацию обработки персональных данных;
• Зафиксировать обстоятельства инцидента (дата, время, способ обнаружения, предполагаемые причины).

Ответственное лицо обязано:

• Организовать проверку и расследование обстоятельств инцидента;
• Определить причины инцидента, объем и категории персональных данных, в отношении которых произошел инцидент, количество пострадавших субъектов;
• Принять меры по локализации и устранению последствий инцидента;
• Обеспечить уведомление Роскомнадзора о факте инцидента в течение 24 часов с момента обнаружения (в случаях, когда инцидент повлек или может повлечь причинение вреда правам и свободам субъектов персональных данных);
• Обеспечить уведомление субъектов персональных данных о факте инцидента в течение 72 часов (если инцидент может причинить вред их правам и свободам);
• Подготовить акт о произошедшем инциденте;
• Разработать меры по недопущению аналогичных инцидентов в будущем.

14.3. Уведомление субъектов персональных данных и Роскомнадзора

Уведомление субъектов персональных данных и Роскомнадзора осуществляется в случаях, когда инцидент может причинить вред правам и свободам субъектов персональных данных.

Уведомление должно содержать:

• Описание произошедшего инцидента;
• Дату и время обнаружения инцидента;
• Категории и примерное количество затронутых субъектов персональных данных;
• Категории и примерное количество затронутых записей персональных данных;
• Меры, принятые или планируемые для устранения последствий инцидента;
• Контактные данные ответственного лица, у которого можно получить дополнительную информацию.

15. ОТВЕТСТВЕННОСТЬ

15.1. Ответственность Компании

Компания несет ответственность за нарушение требований законодательства о персональных данных в соответствии с законодательством Российской Федерации.

В случае неправомерной обработки персональных данных Компания обязана возместить субъекту персональных данных причиненный ущерб и компенсировать моральный вред в соответствии с законодательством РФ.

15.2. Ответственность работников

Работники Компании, виновные в нарушении требований законодательства о персональных данных, несут дисциплинарную, материальную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

Дисциплинарная ответственность работников предусмотрена статьей 192 Трудового кодекса РФ и может включать:

• Замечание;
• Выговор;
• Увольнение по соответствующим основаниям.

Административная ответственность за нарушение законодательства о персональных данных предусмотрена статьей 13.11 Кодекса Российской Федерации об административных правонарушениях.

Уголовная ответственность за неправомерные действия с персональными данными предусмотрена статьей 137 и статьей 272 Уголовного кодекса РФ.

16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

16.1. Внесение изменений в Политику

Настоящая Политика может быть изменена или дополнена в следующих случаях:

• Изменение законодательства Российской Федерации в области персональных данных;
• Изменение целей, условий и способов обработки персональных данных;
• Изменение организационной структуры Компании;
• Выявление необходимости уточнения или дополнения положений Политики по результатам ее применения.

Изменения в Политику вносятся приказом руководителя Компании.

Актуальная версия Политики размещается на официальном сайте Компании в информационно-телекоммуникационной сети «Интернет» по адресу: www.tts-kazan.ru.

16.2. Публикация Политики

Настоящая Политика является общедоступным документом.

Компания обеспечивает неограниченный доступ к настоящей Политике путем ее размещения:

• На официальном сайте Компании в информационно-телекоммуникационной сети «Интернет»;
• В помещениях Компании (информационные стенды).

16.3. Вступление в силу

Настоящая Политика вступает в силу с момента ее утверждения руководителем Компании и действует бессрочно, до замены ее новой Политикой.