Политика конфиденциальности компании Unitwork

1. Общие положения

1.1. Настоящая Политика обработки персональных данных ООО «Юнитворк» (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Она направлена на обеспечение соблюдения прав и свобод человека и гражданина (Субъекта персональных данных) при обработке его персональных данных в ООО «Юнитворк», », ИНН 2309182286, расположенного по адресу: Краснодарский край, г. Краснодар, ул. Индустриальная, д. 3/3, оф. 7 (далее – Оператор), включая защиту права на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика определяет основы организации обработки и защиты персональных данных в Операторе, включая:

• Принципы обработки персональных данных.

• Правовые основания обработки.

• Цели обработки, категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных.

• Участников системы управления обработкой и защитой персональных данных.

• Порядок управления процессами обработки данных.

• Порядок рассмотрения обращений субъектов персональных данных.

• Меры обеспечения конфиденциальности и безопасности данных.

• Права и обязанности Оператора и субъектов персональных данных.

1.3. Положения Политики обязательны для выполнения всеми сотрудниками Оператора, включая и его филиалов.

1.4. Сотрудники Оператора знакомятся с Политикой и ее изменениями под подпись в соответствии с Трудовым кодексом РФ, Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» и ЛНА Оператора.

1.5. Субъекты персональных данных могут ознакомиться с Политикой на официальном сайте Оператора по адресу: www.unitwork.ru.

1.6. Термины, используемые в Политике:

• Автоматизированная обработка персональных данных – обработка данных с использованием вычислительной техники.

• Безопасность персональных данных – состояние, обеспечивающее конфиденциальность, целостность и доступность данных при их обработке.

• Биометрические персональные данные – данные о физиологических и биологических характеристиках субъекта, позволяющие установить его личность (например, голос, отпечатки пальцев, цифровое фото, рисунок радужки).

• Владелец процесса – сотрудник Оператора, ответственный за эффективность процессов обработки данных.

• Бывший сотрудник – физическое лицо, ранее состоявшее в трудовых отношениях с Оператором.

• Доступ к персональным данным – возможность получения и использования данных.

• Законодательство РФ – нормативные правовые акты РФ, регулирующие обработку персональных данных.

• Информационная система персональных данных (ИСПДн) – совокупность технологий, технических средств и баз данных для обработки персональных данных.

• Иные персональные данные – данные, не относящиеся к специальным категориям или биометрическим данным.

• Кандидат – физическое лицо, претендующее на вакансии Оператора.

• Клиент – физическое или юридическое лицо, индивидуальный предприниматель, самозанятый или лицо, занимающееся частной практикой, заключившее договор с Оператором.

• Конфиденциальность персональных данных – требование не допускать передачи данных без согласия субъекта или законных оснований.

• Материальный носитель – бумажный, электронный или иной носитель для записи и хранения персональных данных.

• Надзорный орган – Роскомнадзор, контролирующий соответствие обработки данных законодательству.

• Обработка персональных данных – действия с данными, включая сбор, запись, систематизацию, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

• Неавтоматизированная обработка – обработка данных с участием человека без использования вычислительной техники.

• Оператор – юридическое лицо, организующее и/или осуществляющее обработку персональных данных.

• Персональные данные – информация, относящаяся к физическому лицу (субъекту).

• Потенциальный клиент – физическое лицо, заинтересованное в продуктах, услугах или консультациях Оператора, но не заключившее договор.

• Представитель – законный представитель субъекта, лицо по доверенности, адвокат, арбитражный управляющий или сотрудник клиента/партнера.

• Родственник – близкие родственники субъекта (родители, дети, супруги, братья, сестры, усыновители, усыновленные).

• Специальные категории персональных данных – данные о расе, национальности, политических взглядах, религии, здоровье, судимости.

• Трансграничная передача данных – передача данных за пределы РФ.

• Третье лицо – юридическое лицо, индивидуальный предприниматель, самозанятый или лицо, занимающееся частной практикой, взаимодействующее с Оператором.

• Уничтожение персональных данных – действия, исключающие восстановление данных в ИСПДн или на материальных носителях.

• Участник проекта – физическое лицо, участвующее в проектах Оператора или третьих лиц.

• Участник процедур корпоративного управления – член органов управления, акционер или кандидат на такие должности.

1.7. Для страниц сайта или приложений, через которые собираются персональные данные, Оператор может разрабатывать дополнительные политики, размещаемые на соответствующих ресурсах, при условии их соответствия законодательству и данной Политике.

2. Принципы обработки персональных данных

Обработка персональных данных в Операторе осуществляется на основе следующих принципов:

Законность и справедливость обработки
Персональные данные должны обрабатываться в соответствии с требованиями законодательства и принципами справедливости, обеспечивая уважение прав субъектов данных.

Целевая обработка и ее обеспечение
Обработка персональных данных должна быть строго ограничена достижением четко сформулированных, заранее установленных и законных целей. Запрещается обработка данных, не соответствующая заявленным целям их сбора.
Запрет на объединение несовместимых баз данных
Объединение баз данных, содержащих персональные данные, обработка которых преследует разные цели, не допускается.

Соответствие данных целям обработки
Обрабатываться могут только те персональные данные, которые необходимы для достижения установленных целей обработки.

Минимизация объема данных
Содержание и объем персональных данных должны быть ограничены тем, что необходимо для достижения заявленных целей. Избыточная обработка данных, не относящихся к этим целям, запрещена.

Точность и актуальность данных
При обработке персональных данных необходимо гарантировать их точность, достаточность и, при необходимости, актуальность в соответствии с целями обработки. Оператор обязан принимать меры по удалению или исправлению неполных либо неточных данных.

Ограничение срока хранения
Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта, не дольше, чем это требуется для целей их обработки, если срок хранения не определен федеральным законом или договором, в котором субъект является стороной, выгодоприобретателем или поручителем. По достижении целей обработки или при утрате необходимости в них данные подлежат уничтожению или обезличиванию, если иное не установлено законодательством. Ограничение обработки заранее определенными и законными целями.

3. Правовые основания обработки персональных данных

• Обработка данных осуществляется на следующих основаниях:
  законы, регулирующие отношения, связанные с деятельностью оператора. Здесь указываются именно специализированные нормативные акты, а не Закон о ПДн в целом;

• уставные документы оператора;

• договоры, заключаемые между оператором и субъектом ПДн;

• согласия на обработку ПДн.

4. Цели, категории, перечень данных, субъекты, способы, сроки и порядок уничтожения

4.1. Обработка данных осуществляется для заранее определенных целей, включая сбор, запись, систематизацию, хранение, уточнение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.

4.2. Цели, категории данных, субъекты и сроки обработки указаны в Приложении № 1, являющемся неотъемлемой частью Политики.

4.3. Способы обработки включают автоматизированную (с использованием ИСПДн) и неавтоматизированную обработку. Обработка соответствует требованиям законодательства и ЛНА Оператора. Хранение материальных носителей организовано в помещениях, обеспечивающих их сохранность, в соответствии с Приказами Роскомнадзора.

4.4. Сроки обработки и хранения определяются целями обработки, договорами или согласием субъекта, но не превышают необходимого периода, если иное не предусмотрено законом.

4.5. Уничтожение данных проводится в случаях:

• Достижения целей обработки или утраты необходимости.

• Выявления неправомерной обработки.

• Отзыва согласия субъекта, если иное не предусмотрено законом.

• Требования субъекта о прекращении обработки.

• Уничтожение подтверждается актом и записью в журнале ИСПДн в соответствии с законодательством.

5. Участники системы управления обработкой и защитой данных

5.1. Лицо, ответственное за организацию обработки и защиты данных, выполняет следующие функции:

• Управление процессами обработки и защиты данных.

• Разработка ЛНА. Экспертиза процессов и ЛНА.

• Ознакомление сотрудников с законодательством и ЛНА.

• Оценка вреда от нарушений и эффективности мер защиты.

• Контроль соблюдения законодательства и ЛНА.

• Обработка обращений субъектов.

• Взаимодействие с Роскомнадзором.

• Уведомление о трансграничной передаче данных или инцидентах.

5.2. Лицо, ответственное за обработку, может делегировать функции сотрудникам и давать обязательные указания подразделениям.

6. Организация управления обработкой данных

6.1. Обработка данных проводится в соответствии с законодательством, Политикой и ЛНА.

6.2. Процессы обработки определяют:

• Правовые основания и источники данных.

• Цели, категории и перечень данных, субъекты.

• Сроки обработки и хранения.

• Обязанности владельцев процессов и ИСПДн.

• Порядок доступа сотрудников.

• Порядок передачи данных третьим лицам.

• Порядок хранения, уточнения и уничтожения данных.

6.3. Доступ к данным предоставляется только сотрудникам, чьи должностные обязанности требуют этого. Обязанности по конфиденциальности включаются в трудовые договоры.

6.4. Обработка данных сотрудников регулируется Трудовым кодексом РФ.

6.5. Уточнение данных проводится при выявлении неточностей на основе обращений субъекта, представителя, Роскомнадзора или внутренних проверок.

6.6. Передача данных третьим лицам или трансграничная передача допускается с согласия субъекта или на законных основаниях, с учетом договоров и оценки мер защиты.

6.7. Обработка прекращается по достижении целей, истечении срока согласия или по требованию субъекта, если иное не предусмотрено законом.

7. Порядок рассмотрения обращений субъектов

7.1. Оператор обеспечивает прием и обработку обращений субъектов персональных данных в соответствии с законодательством.

7.2. Запросы должны содержать данные, предусмотренные Законом о персональных данных. Ответ предоставляется в сроки, установленные законом (10 рабочих дней, с возможным продлением на 5 дней с мотивированным уведомлением).

7.3. Сведения предоставляются в форме, указанной в запросе, без включения данных других субъектов, если нет законных оснований для их раскрытия.

7.4. Оператор может отказать в удовлетворении запроса при наличии законных оснований, направив мотивированный отказ.

8. Меры обеспечения конфиденциальности и безопасности

8.1. Оператор применяет правовые, организационные и технические меры для защиты данных, включая:

• Определение угроз и применение мер защиты.

• Использование сертифицированных средств защиты.

• Оценку эффективности мер.

• Пропускной режим и контроль доступа.

• Учет действий в ИСПДн и материальных носителей.

• Автоматическую регистрацию событий безопасности.

• Меры по обнаружению и устранению инцидентов.

• Контроль уязвимостей и обновление ПО.

8.2. Оператор оценивает потенциальный вред от нарушений и соотносит его с принимаемыми мерами.

9. Права и обязанности

9.1. Обязанности Оператора:

• Соблюдать законодательство при обработке данных.

• Обеспечивать хранение данных граждан РФ на территории РФ, за исключением предусмотренных случаев.

• Публиковать Политику на сайте.

• Разъяснять последствия отказа от предоставления данных.

• Информировать субъекта о данных, полученных не от него.

• Выполнять запросы субъектов и Роскомнадзора.

• Устранять нарушения и уточнять данные.

9.2. Права Оператора:

• Обрабатывать данные без согласия в предусмотренных законом случаях.

• Передавать данные третьим лицам при наличии оснований.

• Отказывать в предоставлении сведений при законных основаниях.

• Определять меры защиты данных.

9.3. Права субъекта:

• Давать согласие на обработку данных.

• Запрашивать информацию об обработке.

• Требовать уточнения, блокирования или уничтожения данных.

• Отзывать согласие или требовать прекращения обработки.

10. Заключительные положения

10.1. Политика вступает в силу с момента утверждения и обязательна для всех сотрудников.

10.2. Политика может быть изменена по усмотрению Оператора.

10.3. Недействительность отдельных положений не влияет на остальные.

10.4. Сотрудники несут ответственность за нарушение требований обработки данных в соответствии с законодательством РФ.

10.5. Политика публикуется на сайте www.unitwork.ru с обеспечением неограниченного доступа.

---

Приложение № 1. Цели обработки, категории и перечень данных, субъекты, способы, сроки и порядок уничтожения

1. Цель: Предоставление продуктов, услуг и сервисов клиентам и потенциальным клиентам (физическим лицам), включая сопровождение и взаимодействие

1.1. Категории субъектов:

• Клиенты (физические лица).

• Потенциальные клиенты (физические лица).

• Связанные лица (представители, родственники, залогодатели, поручители).

1.2. Категории и перечень данных :

• Клиенты (физические лица):

• Данные, которые может обрабатывать оператор: ФИО, контактная информация (email, телефон), данные документов (паспорт, СНИЛС, ИНН), адрес, гражданство, пол, место работы, должность, возраст, дата и место рождения, данные о дееспособности, номер договора, сведения о доходах, расходах, образовании, семейном положении, транзакциях, недвижимости, банкротстве, алиментах, водительском удостоверении, действиях на сайте (ID устройства, IP-адрес, тип устройства).

• Специальные категории: данные о здоровье (при необходимости).

• Биометрические данные: голос, отпечатки пальцев, цифровое фото (для идентификации).

• Потенциальные клиенты:

• Данные, которые может обрабатывать оператор: ФИО, контактная информация, данные документов, адрес, гражданство, пол, место работы, данные о доходах, расходах, образовании, семейном положении, действиях на сайте.

• Специальные категории: данные о здоровье (при необходимости).

• Биометрические данные: голос, цифровое фото (для идентификации).

• Представители клиентов:

• Данные: ФИО, контактная информация, данные документов, адрес, гражданство, пол, данные о дееспособности, полномочиях, ИНН, СНИЛС, сведения о платежеспособности.

• Иные лица, связанные с клиентами:

• Данные: ФИО, данные документов, адрес, гражданство, дата рождения, данные о недвижимости, семейном положении, детях, дееспособности.

1.3. Способы обработки: Автоматизированная и неавтоматизированная обработка в соответствии с п. 4.3 Политики.

1.4. Сроки обработки и хранения: определяются в соответствии с п. 4.4 Политики.

1.5. Порядок уничтожения: в соответствии с п. 4.5 Политики.