Положение об обработке персональных данных

в ООО «Квестория»

1. Общие положения

1.1. Настоящее Положение определяет политику, порядок и условия обработки персональных данных субъектов персональных данных в ООО «Квестория» (далее — Компания), устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

2. Виды и местонахождение персональных данных.
2.1. В Компании обрабатываются персональные данные следующих субъектов:
- сотрудников Компании, в т.ч. лиц работающих по договорам подряда, возмездного оказания услуг;
- физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Компанией.
2.2. Персональные данные сотрудников Компании содержатся в документах персонального учета сотрудников, финансовой документации, а также в иных документах, формируемых в процессе осуществления профессиональной деятельности Компании.
2.3. Состав обрабатываемых персональных данных сотрудников Компании:
- ФИО;
- фотография;
- дата рождения;
- место рождения;
- пол;
- данные документов, удостоверяющих личность;
- воинское звание;
- ИНН (при наличии);
- страховой номер индивидуального лицевого счета (СНИЛС);
- адрес регистрации по месту жительства/фактического проживания;
- гражданство;
- трудоспособность;
- контактные данные (контактный телефон; адрес электронной почты);
- место работы и должность;
- сведения о доходах;
- образование;
- сведения о детях.
2.4.Персональные данные иных субъектов содержатся в заключаемых с ними договорах, документах, относящихся к исполнению данных договоров, и информационной системе обработки персональных данных.
2.5. Состав обрабатываемых персональных данных иных субъектов:
- ФИО;
- дата рождения;
- данные документов, удостоверяющих личность;
- ИНН (при наличии);
- страховой номер индивидуального лицевого счета (СНИЛС),
- адрес регистрации по месту жительства/ фактического проживания;
- гражданство;
- контактные данные (контактный телефон; адрес электронной почты).

3. Цели обработки персональных данных.
3.1. Обработка персональных данных сотрудников Компании осуществляется в целях регулирования трудовых отношений между Компанией и сотрудниками.
3.2. Обработка персональных данных иных субъектов осуществляется в целях обеспечения выполнения работ и оказания услуг, определенных Уставом Компании, выполнения договорных обязательств Компании перед клиентами, предоставления возможности контрагентам Компании выполнения обязанностей, предусмотренных договорами между Компанией и ее контрагентами, контроля качества оказания услуг сотрудниками Компании и ее контрагентами.

4. Общие положения по обработке персональных данных.
4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации.
4.1.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 от 1 ноября 2012 г, нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
4.2. Обработка персональных данных, осуществляемая без использования средств автоматизации.
4.2.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
4.2.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
4.2.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; о наименовании и адресе Компании; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых Компанией способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, в случае необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

5. Порядок обеспечения безопасности персональных данных.
5.1. Получение персональных данных
5.3.1. Получение персональных данных субъектов возможно как у самого субъекта, так и из других источников.
Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменной форме при заключении договора с Компанией (только персональных данных, указанных в договоре), а также в случаях, установленных Федеральным законом.
5.3.2. Компания имеет право проверять достоверность сведений, предоставленных субъектом персональных данных, сверяя данные, предоставленные субъектом, с имеющимися у Компании документами.
5.3.3. Компания до начала обработки персональных данных обязана сообщить субъекту цель обработки персональных данных и ее правовое основание, включая информацию о характере подлежащих обработке персональных данных и об источниках получения персональных данных, предполагаемых пользователей персональных данных, способы обработки персональных данных, а также порядок отказа субъекта персональных данных от предоставления права на обработку своих персональных данных и возможные последствия такого отказа.
5.4. Хранение персональных данных
5.4.1. Персональные данные субъектов персональных данных хранятся:
- в бумажном виде в папках в надежно запираемых шкафах, ящиках столов, сейфах, обеспечивающих защиту от несанкционированного доступа;
- в электронном виде в информационной системе персональных данных. Доступ к информационной системе персональных данных, содержащим персональные данные, обеспечивается использованием средств защиты от несанкционированного доступа и копирования.
5.4.2. Работник, имеющий доступ к персональным данным сотрудников Компании в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
5.5. Доступ к персональным данным и передача персональных данных
5.5.1. Доступ к персональным данным субъекта имеют работники Компании, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей и только в необходимом объеме. Перечень лиц, имеющих доступ к персональным данным, определяется Генеральным директором Компании и утверждается приказом по Компании.
5.5.2. В случае, если Компании оказывают услуги юридические и физические лица на основании заключенных договоров, в силу которых им может быть предоставлен доступ к конфиденциальной информации (в т.ч. к персональным данным субъектов), то до начала исполнения договора должно быть подписано соглашение о неразглашении конфиденциальной информации между Компанией и указанными физическими или юридическими лицами, либо положения о неразглашении конфиденциальной информации должны быть включены в текст соответствующих договоров с указанными физическими и юридическими лицами.
5.5.3. Субъект Персональных данных имеет право на свободный доступ к своим персональным данным. Субъект имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
Субъект персональных данных имеет право на получение при обращении информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
- способы обработки персональных данных, применяемые Компанией;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
5.5.6. Доступ к своим персональным данным предоставляется субъекту персональных данных, не являющемуся работником Компании, или его законному представителю при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
5.5.7. Передача персональных данных внутри Компании осуществляется только между сотрудниками, имеющими доступ к персональным данным.
5.5.8. Передача персональных данных третьим лицам (физическим и юридическим):
1) Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта (сведения, которые должны содержаться в письменном согласии субъекта), за исключением случаев, установленных федеральными законами.
2) Представителю субъекта персональные данные передаются при наличии доверенности представителя субъекта либо письменного заявления субъекта, написанного в присутствии сотрудника Компании.
3) Предоставление персональных данных субъекта уполномоченному органу по защите прав субъектов Персональных данных, на который возлагаются функции обеспечения контроля и надзора за соответствием обработки Персональных данных требованиям ФЗ № −152 «О персональных данных», осуществляется по запросу.
4) Предоставление персональных данных субъекта иным государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации.
5.5.9.Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».
5.5.10. Целью трансграничной передачи персональных данных клиентов Компании является исключительно исполнение договора, стороной которого является субъект персональных данных.
5.7. Уничтожение персональных данных
5.7.1. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами, а также в случае выявления неправомерных действий с персональными данными и невозможностью устранения допущенных нарушений в срок, установленным законодательством.
5.7.2. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных. Об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных.
5.8. Права и обязанности субъектов персональных данных
5.8.1. Субъекты персональных данных — клиенты Компании имеют право:
А) Получать доступ к своим персональным данным и знакомиться с ними.
Б) Получать от Компании:
- подтверждение факта обработки персональных данных, сведения о цели такой обработки;
- сведения о способах обработки персональных данных, применяемых Компанией;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- отозвать свое согласие на обработку Компанией персональных данных субъекта.

6. Порядок ввода в действие и изменение Положения.
6.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Компании.

6.2. Все изменения в Положение вносятся приказом.