1. Общие положения
1.1. Политика обработки персональных данных в ООО «НК Инжиниринг» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «НК Инжиниринг» персональных данных, функции ООО «НК Инжиниринг» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «НК Инжиниринг» требования к защите персональных данных.
1.2. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «НК Инжиниринг» вопросы обработки персональных данных работников ООО «НК Инжиниринг» и других субъектов персональных данных.
1.3. Цель Политики – обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Законодательные и иные нормативные правовые акты рф, в соответствии с которыми определяется политика обработки персональных данных
2.1. Политика обработки персональных данных в ООО «НК Инжиниринг» определяется в соответствии со следующими нормативными правовыми актами:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
— Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
2.2. В целях реализации положений Политики в ООО «НК Инжиниринг» разрабатываются соответствующие локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных.
3. Основные термины и определения
3.1. В настоящей Политике используются следующие основные термины:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
оператор – ООО «НК Инжиниринг» (ОГРН: 1237800068131, ИНН: 7806611128, адрес местонахождения: Россия, г. Санкт-Петербург, проспект Энергетиков 4к1, БЦ «Amber Hall», офис 406), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.2. В настоящей Политике используются следующие сокращения:
Компания – ООО «НК Инжиниринг»
Сайт – официальный сайт Компании, расположенный по адресу gasspb.ru
Клиент – физическое или юридическое лицо, имеющее намерение заказать или приобрести либо заказывающее, приобретающее или использующее услуги Компании в сфере строительства инженерных коммуникаций для водоснабжения, водоотведения и газоснабжения.
4. Принципы и цели обработки персональных данных
4.1. Компания, являясь оператором персональных данных, осуществляет обработку персональных данных работников Компании и других субъектов персональных данных, не состоящих с Компанией в трудовых отношениях.
4.2. Обработка персональных данных в Компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется в Компании на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
4.3. Персональные данные обрабатываются в Компании в целях:
— обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
— осуществления деятельности Компании в сфере строительства инженерных коммуникаций для водоснабжения, водоотведения и газоснабжения;
— заключения и исполнения договоров с клиентами и контрагентами;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании;
— обработки запросов и заявок от пользователей сайта Компании;
— коммуникации с клиентами и потенциальными клиентами при их обращении в Компанию;
— предоставления клиентам информации о продуктах и услугах Компании;
— в иных законных целях.
5. Перечень субъектов, персональные данные которых обрабатываются в компании
5.1. В Компании обрабатываются персональные данные следующих категорий субъектов:
— работники Компании;
— клиенты и контрагенты Компании (физические лица);
— представители/работники клиентов и контрагентов Компании (юридических лиц);
— кандидаты на замещение вакантных должностей Компании;
— посетители сайта Компании;
— иные субъекты персональных данных, взаимодействующие с Компанией в рамках целей обработки персональных данных, указанных в разделе 4 настоящей Политики.
6. Перечень персональных данных, обрабатываемых в компании
6.1. Перечень персональных данных, обрабатываемых в Компании, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки персональных данных, указанных в разделе 4 настоящей Политики.
6.2. В рамках обработки персональных данных посетителей сайта и клиентов Компания обрабатывает следующие категории персональных данных:
— фамилия, имя, отчество;
— номера контактных телефонов;
— адреса электронной почты;
— иные персональные данные, предоставляемые клиентами и контрагентами, необходимые для заключения и исполнения договоров.
6.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.
6.4. Компания не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.5. На сайте Компании происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Google Analytics и других).
7. Порядок и условия обработки персональных данных
7.1. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
7.2. Компания осуществляет следующие действия с персональными данными:
— сбор;
— запись;
— систематизация;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передача (предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение персональных данных.
7.3. Обработка персональных данных в Компании осуществляется при наличии одного из следующих условий:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных законом;
— обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
— обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7.4. Компания обеспечивает конфиденциальность персональных данных субъектов персональных данных. Работники Компании, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.5. В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
7.6. Доступ к обрабатываемым в Компании персональным данным разрешается только работникам Компании, занимающим должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных.
8. Меры по обеспечению безопасности персональных данных при их обработке
8.1. Компания при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается следующими способами:
8.2. Организационные меры:
— назначение ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику Компании в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
— ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных;
— организация обучения и проведение методической работы с работниками Компании, занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных;
— осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону «О персональных данных».
8.3. Технические меры:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
9. Права субъектов персональных данных
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Компанией;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Компанией способы обработки персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование и адрес лиц, осуществляющих обработку персональных данных по поручению Компании;
— иные сведения, предусмотренные законодательством Российской Федерации.
9.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10. Заключительные положения
10.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Компании gasspb.ru.
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
10.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Компании.
10.4. Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании.
11. Обратная связь
11.1. Адрес местонахождения ООО «НК Инжиниринг»: Россия, г. Санкт-Петербург, проспект Энергетиков 4к1, БЦ «Amber Hall», офис 406.
11.2. Субъекты персональных данных могут направлять запросы, касающиеся обработки их персональных данных, в письменной форме по адресу: Россия, г. Санкт-Петербург, проспект Энергетиков 4к1, БЦ «Amber Hall», офис 406, либо в форме электронного документа через форму обратной связи на сайте gasspb.ru.
11.3. В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
— фамилию, имя, отчество субъекта персональных данных или его представителя;
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией;
— подпись субъекта персональных данных или его представителя.
Настоящая Политика вступает в силу с момента ее утверждения руководителем Компании.