1. Применение1.1. Предназначение
В настоящей Политике излагаются ключевые принципы Защиты Персональных данных и Обработки Персональных данных, применимые к ООО «КИСЛОВСКИЙ» (далее – КИСЛОВСКИЙ).
В качестве работодателя, клиента и поставщика каждый участник КИСЛОВСКИЙ осуществляет сбор и использует персональные данные работников, деловых партнеров, клиентов, потенциальных клиентов и т.п. Хотя работа с такими персональными данными является необходимым условием осуществления нашей деятельности, КИСЛОВСКИЙ понимает, что защита личных прав и неприкосновенности частной жизни каждого человека составляет основу доверия во всех отношениях. Именно по этой причине КИСЛОВСКИЙ намерена организовать наиболее оптимальным образом защиту и Обработку Персональных данных.
Для КИСЛОВСКИЙ крайне важно выполнять требования к Защите Персональных данных в стране осуществления ее хозяйственной деятельности и проживания субъектов Данных. Все участники КИСЛОВСКИЙ обязаны выполнять местные требования, предъявляемые во всех странах мира к контролю и обработке персональных данных.
С настоящей Политикой должны быть ознакомлены все работники, которые обязаны соблюдать положения Политики и выполнять ее требования. Кроме того, Политика применима к контрагентам, а также лицам, совершающим сделки с КИСЛОВСКИЙ и имеющим или способным получить доступ к Персональным данным. Такие контрагенты должны ознакомиться, уяснить и выполнять положения настоящей Политики.
1.2. Сфера применения и обязательные юридические требования
Правила защиты данных, действующие в ЕС (Положение (ЕС) 2016/679 ("Общее положение о защите данных" или "GDPR"), являются строгими и применяются на гармонизированной основе на всей территории ЕС. Сфера применения GDPR выходит за пределы ЕС, поскольку это положение применимо также к участникам КИСЛОВСКИЙ, учрежденным за пределами ЕС, если субъект Данных является резидентом ЕС.
Соответствующие местные нормативно-правовые акты имеют преимущественную силу в случае, если они противоречат настоящей Политике защиты Данных или содержат более строгие требования, по сравнению с настоящей Политикой защиты Данных. Примерами местных нормативно-правовых актов, которыми должна руководствоваться КИСЛОВСКИЙ, являются:
- Федеральный закон № 152-ФЗ "О персональных данных" 2006 года;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 29.06.2021
№ 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных"
2. Общие положения2.1. Цели Политики
Основными целями Политики являются:
- Защита прав и свобод всех субъектов Данных и их информирование об этом;
- Соблюдение правил обработки Персональных данных;
- Предотвращение любых нарушений обработки Персональных данных и проблем с безопасностью в целом;
- Повышение осведомленности о режиме защиты Персональных данных в целом.
2.2. Принципы Политики
Вся обработка Персональных данных должна осуществляться в соответствии с принципами Защиты Данных, указанными в GDPR. Политика и процедуры КИСЛОВСКИЙ призваны обеспечить соблюдение указанных принципов.
Вкратце, мы сотрудники КИСЛОВСКИЙ обязуемся выполнять следующие принципы:
- Принцип объективности и законности: мы обязуемся обрабатывать персональные данные лишь при условии, что субъект данных был проинформирован об этом и имеются правовые основания для обработки.
- Принцип ограничения цели: мы осуществляем обработку персональных данных лишь для достижения четко обозначенных и законных целей и не обрабатываем такие данные в форме, не совместимой с этими целями.
- Принцип минимального объема данных: мы обрабатываем лишь персональные данные, являющиеся достаточными, соответствующими цели и ограниченными объемом, необходимым для целей, которые ставятся при обработке таких данных.
- Принцип точности: мы обрабатываем лишь те данные, которые являются точными и, если необходимо, актуальными. Мы принимаем все разумные меры для того, чтобы обеспечить незамедлительное уничтожение или исправление персональных данных, являющихся неточными.
- Принцип ограничения обработки: мы содержим все персональные данные в форме, позволяющей идентифицировать субъекты Данных в течение периода, не превышающего то время, которое необходимо для целей, в которых осуществляется обработка персональных данных.
- Принцип обеспечения безопасности: мы осуществляем обработку данных лишь в форме, обеспечивающей надлежащую безопасность, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или изменения, с применением всех необходимых мер технического или организационного характера.
- Принцип подотчетности: мы несем ответственность и должны быть способны продемонстрировать в любое время выполнение вышеуказанных принципов защиты данных представителям компетентных органов или субъектам данных.
3. Меры по защите данныхГотовность КИСЛОВСКИЙ реализовать на практике указанные выше принципы Защиты Данных подтверждают следующие принятые нами меры:
3.1. Законность и объективность обработки
КИСЛОВСКИЙ обеспечивает объективность и законность сбора и обработки данных. Мы принимаем все разумные меры для того, чтобы персональные данные были актуальными, точными и хранились лишь в течение заранее установленного периода времени.
КИСЛОВСКИЙ обеспечивает, чтобы, в зависимости от категории, к которой относится субъект Данных, собранные данные использовались лишь на основе указанных выше принципов объективности и законности.
3.2. Данные работников
Под данными работников понимаются все данные, обрабатываемые любым участником КИСЛОВСКИЙ, которые относятся к работникам и (при необходимости) их супругам. В то же время понятие "данные работников" шире, чем просто персональные данные действующих работников. Существуют и другие категории данных, относящихся к работе по найму, например, данные работников, уволенных работников, вышедших на пенсию, и лиц, подавших заявления о приеме на работу.
1. Правовые основания для деятельности по обработке
В отношениях между работодателем и работником подавляющая часть деятельности по обработке данных юридически обоснована необходимостью выполнения договора: участники КИСЛОВСКИЙ не могли бы надлежащим образом выполнить свои обязательства по своим трудовым договорам, если бы они были лишены возможности обрабатывать данные своих работников.
Юридическим основанием некоторой деятельности по обработке данных является юридическое обязательство обрабатывать определенные персональные данные работников, например, для целей социальной защиты, страхования, выплаты должностных окладов и т.п.
Каждый работник КИСЛОВСКИЙ почти во всех случаях может также полагаться на законные интересы обработки персональных данных, исходя из потребностей надлежащего функционирования предприятия (например, когда КИСЛОВСКИЙ не имеет трудового договора с претендентами на занятие должностей, но КИСЛОВСКИЙ на законных основаниях заинтересована в оценке потенциальных кандидатов, в частности, когда они подают в КИСЛОВСКИЙ заявления о приеме на работу).
КИСЛОВСКИЙ несет исключительную ответственность за определение законности оснований для деятельности по обработке данных.
2. Объективность обработки
Обработка данные работников основывается на следующих принципах:
- Минимальный объем: КИСЛОВСКИЙ обеспечивает ограничение обрабатываемых данных работников минимально необходимым объемом.
- Точность: КИСЛОВСКИЙ обеспечивает регулярную актуализацию данных всех работников на уровне организации и возможность для каждого работника в любое время потребовать исправления любых неправильных данных.
- Ограничение периода хранения: данные всех работников обрабатываются в течение срока действия трудового договора. После прекращения действия трудового договора большая часть данных уничтожается, с учетом установленного периода их сохранения, если иное не предусмотрено законом или субъект данных не предоставил свое недвусмысленное согласие на сохранение своих данных в деле для дальнейшей конкретной деятельности по обработке.
- Безопасность: Все персональные данные обрабатываются в безопасной форме. Например, доступ к данным ограничивается служебной необходимостью, данные КИСЛОВСКИЙ часто обезличиваются при их передаче третьим сторонам и т.п.
- Обработка данных ограниченного доступа: такие данные, например, отражающие расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, членство в профсоюзных организациях, состояние здоровья и особенности частной жизни субъекта данных, обрабатываются с применением необходимых дополнительных мер предосторожности.
- КИСЛОВСКИЙ сводит к минимуму объемы автоматизированной обработки персональных данных. В том случае, если персональные данные обрабатываются автоматически в рамках трудовых отношений, и производится оценка конкретных персональных сведений (например, в рамках подбора персонала или оценки навыков), такая автоматизированная обработка не может быть исключительной основой для принятия решения, которое может иметь отрицательные последствия или создать значительные проблемы для соответствующего работника.
КИСЛОВСКИЙ несет исключительную ответственность за объективность обработки данных работников.
3.3. Данные контрагентов
Под данными контрагентов понимаются персональные данные клиентов, контрагентов, заказчиков, деловых партнеров, посетителей вэб-сайта, корпоративного портала, закрытой части сайта kislovsky.ru и т.п. Хотя эти данные всегда представляют собой профессиональный данные, т.е. обработка данных ограниченного доступа в таких случаях не осуществляется, каждый адрес электронной почты или телефонный номер рассматривается в качестве персональных данных.
1. Правовые основания для деятельности по обработке
В рамках договорных отношений обработка данных в подавляющем большинстве случаев юридически обоснована необходимостью выполнения договора: КИСЛОВСКИЙ не могла бы надлежащим образом выполнить обязательства по своим договорам, если бы она была лишена возможности обрабатывать соответствующие данные.
КИСЛОВСКИЙ практически во всех случаях может полагаться на законную заинтересованность в обработке персональных данных, поскольку это необходимо для обеспечения надлежащего функционирования предприятия.
Насколько данные Контрагентов контролируются КИСЛОВСКИЙ — это означает, что КИСЛОВСКИЙ определяет цели и средства обработки данных, КИСЛОВСКИЙ отвечает за правовое обоснование деятельности по обработке.
2. Объективность обработки
Обработка данных контрагентов, дополнительно к принципам, указанным в пункте 3.2. основывается на следующих принципах:
- В случае обработки сбор данных контрагентов осуществляется через вэб-сайт arbat.hotelvremenagoda.ru в том числе ее закрытой части и онлайн-инструменты: в том случае, если сбор, обработка и использование персональных данных осуществляются на вэб-сайте, субъекты данных должны быть проинформированы об этом в форме заявления о защите неприкосновенности частной жизни и, в применимых случаях, информации об идентификационных файлах. Заявление о защите неприкосновенности частной жизни и любая информация об идентификационных файлах должны быть объединены таким образом, чтобы субъекты данных могли легко найти их с возможностью прямого и непротиворечивого доступа.
- Насколько мы создаем на нашем вэб-сайте arbat.hotelvremenagoda.ru и его закрытой части, профили пользователей (ведем учет), субъекты данных всегда должны быть проинформированы об этом в заявлении о защите неприкосновенности частной жизни. Персональный учет может осуществляться лишь в том случае, если это разрешено национальным законодательством, или с согласия субъекта Данных.
- В том случае, если доступ с вэб-сайта или из приложения к персональным данным в той или иной области ограничивается кругом зарегистрированных пользователей, идентификация и отождествление субъекта Данных обеспечивает дополнительную защиту доступа.
Насколько КИСЛОВСКИЙ выступает в качестве Контролера данных контрагентов - КИСЛОВСКИЙ отвечает за определение правовых оснований для деятельности по обработке данных.
3.4. Согласие
Насколько КИСЛОВСКИЙ полагается на согласие в качестве правового основания для обработки, применяются следующие условия:
- Заявления о согласии должны делаться добровольно, в письменном виде и в соответствии с нормативно-правовыми требованиями. Любое согласие, не отвечающее этим условиям, не имеет юридической силы. Заявление о согласии должно быть предоставлено в письменном виде или в электронной форме с документальным оформлением. До предоставления согласия субъект Данных информируется об объеме деятельности по обработке. Субъект Данных вправе отозвать свое согласие в любое время.
В отношении данных ограниченного доступа должно быть получено прямое письменное согласие от субъекта Данных, если четкие альтернативные правовые основания для такой обработки отсутствуют.
В большинстве случаев согласие на обработку Персональных и данных ограниченного доступа получается КИСЛОВСКИЙ в установленном порядке на основе стандартных документов о предоставлении согласия.
4. Защита прав субъектов данныхКаждый сотрудник КИСЛОВСКИЙ должен обеспечить, чтобы субъект данных, Персональные данные которого обрабатываются КИСЛОВСКИЙ, имел возможность воспользоваться следующими индивидуальными правами.
4.1. Право на получение информации:
Если Субъект персональных данных недвусмысленно требует предоставления информации, КИСЛОВСКИЙ должен предоставить субъекту данных информацию о его обработанных Персональных данных в краткой, прозрачной, ясной и легко доступной форме. Кроме того, КИСЛОВСКИЙ оставляет за собой право отклонить просьбу о предоставлении информации, если субъект данных уже имеет информацию или это может потребовать непропорционально больших усилий.
По соответствующему требованию КИСЛОВСКИЙ должен предоставить следующую информацию: 1) название и контактные реквизиты организации, 2) цели обработки, 3) правовые основания для обработки; 4) категории полученных Персональных данных; 5) получатели или категории получателей персональных данных, 6) сведения о передаче Персональных данных в любые третьи страны или международные организации (в применимых случаях), 7) периоды сохранения персональных данных, 8) права, предоставляемые субъектам данных в связи с обработкой, 9) право отозвать согласие (в применимых случаях), 10) право направить жалобу в надзорный орган.
4.2. Право доступа
В целях обеспечения осведомленности субъектов данных о законности деятельности по обработке и ее проверки КИСЛОВСКИЙ предоставляет им право на получение подтверждения того, что данные субъекта данных обрабатываются; доступ к персональным данным; и необходимую дополнительную информацию. Форма доступа подлежит взаимному согласованию.
4.3. Право на исправление:
В том случае, если КИСЛОВСКИЙ обрабатывает неточные или неполные персональные данные, субъект данных вправе потребовать исправления или дополнения данных. В этой связи КИСЛОВСКИЙ оставляет за собой право отказать в просьбе об исправлении, если это разрешено применимым положением.
4.4. Право на удаление и право на ограничение обработки:
Субъекты данных вправе удалить свои Персональные данные из документации КИСЛОВСКИЙ, если
1) в Персональных данных отсутствует дальнейшая необходимость для целей, в которых они первоначально собирались или обрабатывались;
2) КИСЛОВСКИЙ полагался исключительно на согласие в качестве правового основания для хранения данных, и субъект данных отозвал свое согласие;
3) КИСЛОВСКИЙ полагается исключительно на законные интересы в качестве основания для обработки, и субъект данных возражает против обработки своих данных при отсутствии приоритетного законного интереса, который мог бы обосновать продолжение такой обработки;
5) КИСЛОВСКИЙ обрабатывал Персональные данные незаконно.
В качестве альтернативы требованию об удалении персональных данных субъект данных вправе потребовать от КИСЛОВСКИЙ ограничить обработку своих Персональных данных хранением данных, но не использовать их иным образом. Такое ограничение может быть запрошено в следующих случаях:
1) субъект данных оспаривает точность своих Персональных данных и КИСЛОВСКИЙ при этом проверяет точность данных;
2) данные обрабатывались незаконно, но субъект данных выступает против их удаления и требует лишь ограничения их обработки;
3) КИСЛОВСКИЙ более не нуждается в Персональных данных, но субъекту данных необходимо сохранять Персональные данные для целей обоснования, возбуждения или защиты от судебного иска;
4) субъект данных возражает против обработки данных КИСЛОВСКИЙ, но участник при этом ищет законные основания, которые имели бы преимущественную силу по отношению к доводам, которые приводятся субъектом данных.
4.5. Право на выдвижение возражений:
В том случае, если субъект данных возражает против обработки своих Персональных данных на "основаниях, касающихся его конкретных обстоятельств", субъект данных вправе возразить против:
1) обработки, исходя из своих законных интересов;
2) прямого маркетинга (включая указание на биографические данные).
В этом случае КИСЛОВСКИЙ обязан прекратить обработку Персональных данных, если:
1) он не сможет продемонстрировать наличие других законных оснований, обосновывающих право на обработку и имеющих преимущественную силу по сравнению с интересами, правами и свободами субъекта данных;
2) обработка не осуществляется для целей обоснования, возбуждения или защиты от судебных исков.
Все требования об использовании указанных выше прав должны направляться ответственному за защиту данных. Если применимым нормативно-правовым актом не разрешено иное, каждое требование должно быть оформлено в письменном виде.
Если тем или иным применимым нормативно-правовым актом не предусмотрено иное, ответ на каждое требование должен быть направлен не позднее 30 дней после получения письменного требования от субъекта данных. Соответствующая проверка должна подтвердить, что лицо, обратившееся с требованием, является субъектом данных или его уполномоченным законным представителем.
Если тем или иным применимым нормативно-правовым актом не предусмотрено иное, каждое требование выполняется бесплатно, если оно не будет сочтено необоснованным или излишним по своему характеру.
5. Безопасность Персональных данныхКИСЛОВСКИЙ обязуется выполнять требования передовой практики отрасли в отношении безопасности информационных технологий.
Кроме того, КИСЛОВСКИЙ приняла физические, технические и организационные меры по обеспечению безопасности персональных данных. Это включает предотвращение потери или повреждения, несанкционированного изменения, доступа или обработки и иных рисков, которым они могут быть подвержены в результате действий персонала, физического воздействия или воздействия внешних условий.
Минимально необходимыми меры:
Все Персональные данные должны рассматриваться в качестве данных, требующих применения максимально строгих средств защиты и должны содержаться:
- в запираемом помещении с контролируемым доступом; и/или
- в запираемом шкафу или сейфе для хранения документов; и/или
- в случае, если они представлены в компьютеризированной форме, должны быть защищены паролем в соответствии с корпоративными требованиями; и/или
- должны храниться на (съемном) компьютерном носителе информации в зашифрованном виде.
Документация в бумажном виде не должна оставляться в местах, в которых она может попасть в руки персонала, не имеющего разрешения на ее использование, и не должна выноситься из хозяйственных помещений без специального разрешения. После того, как дальнейшая потребность в бумажной документации для повседневной поддержки клиентов отпадет, она должна быть удалена из архива.
Персональные данные могут быть удалены или уничтожены лишь после утверждения руководителем возможности уничтожения.
КИСЛОВСКИЙ должна обеспечить, чтобы Персональные данные не раскрывались лицам, не имеющим соответствующего разрешения, включая членов семьи, друзей, государственные органы, если законом не предусмотрено иное. Все требования о предоставлении данных по одной из этих причин должны быть подтверждены соответствующими документами, и любое раскрытие информации такого рода должно быть специально разрешено Ответственным за защиту данных.
КИСЛОВСКИЙ обеспечивает, чтобы все работники соблюдали требования настоящей Политики. Кроме того, КИСЛОВСКИЙ гарантирует, что все работники, отвечающие за реализацию Политики, будут иметь надлежащий уровень подготовки, информирования и поддержки.