УТВЕРЖДЕНО Приказом

Генерального директора ООО «Сайберпик»

от 07 июня 2023 г. № 03/2023

ПОЛИТИКА 

Общества с ограниченной ответственностью «Сайберпик»

в отношении обработки персональных данных 

1. Общие положения

1. Настоящая Политика в отношении обработки персональных данных (далее – «Политика») Общества с ограниченной ответственностью «Сайберпик» (далее – «Компания»), ИНН 9725025175, расположенного по адресу: 119334, г. Москва, 5-й Донской проезд, д. 21Б, стр. 10, этаж 2, пом. I, комн. 33, разработана в соответствии с ч. 2 ст. 18.1. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2. Настоящая Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
3. В Компании разрабатываются и вводятся в действие локальные нормативные акты Компании в области обработки и защиты персональных данных, которые являются обязательными для исполнения всеми работниками Компании.
4. Политика в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» является общедоступным документом и размещается на официальном сайте Компании.

2. Основные понятия

1. Для целей настоящего Политики используются следующие основные понятия:

1.  персональные данные — любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных); 
2.  обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3.  автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
4.  оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Сайберпик», расположенное по адресу: 119334, г. Москва, 5-й Донской проезд, д. 21Б, стр. 10, этаж 2, пом. I, комн. 33;
5.  субъект персональных данных – физическое лицо, к которому относятся персональные данные;
6.  конфиденциальность персональных данных — обязательное для выполнения Компанией или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, их распространение без согласия субъекта персональных данных или наличия иного законного основания;
7.  распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
8.  блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9.  уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11. информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
13. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

3. Принципы и цели обработки персональных данных в Компании
   1. Обработка персональных данных в Компании осуществляется в соответствии со следующими принципами:
      1. законности и справедливости целей и способов обработки персональных данных;
      2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
      3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
      4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
      5. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
      6. хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
      7. уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
   2. Целями обработки персональных данных Компанией являются:
      1. исполнение положений действующего законодательства Российской Федерации;
      2. надлежащее ведение кадрового учета работников Компании, получения образования работниками Компании, заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, начисление работникам заработной платы, содействие работникам в обучении и продвижении по должности, предоставление работникам Компании льгот и компенсаций, предусмотренных действующим законодательством Российской Федерации и локальными нормативными актами Компании, расчет и перечисление налогов и страховых взносов за работников Компании, осуществление медицинского страхования работников Компании и оплата услуг лиц по договорам гражданско-правового характера, обеспечение личной безопасности работников Компании, контроль количества и качества выполняемой ими работы и обеспечение сохранности имущества работодателя;
      3. оказание содействия кандидатам, работникам, бывшим работникам в трудоустройстве, привлечение и отбор кандидатов на работу в Компании, формирование и ведение реестра соискателей;
      4. исполнение обязательств по договорам, заключенным с контрагентами, обеспечение соблюдения законов и иных нормативных правовых актов, обеспечение бухгалтерского (налогового) учета, заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
      5. любые иные цели, для достижения которых Компании требуется обработка персональных данных в соответствии с действующим законодательством Российской Федерации.
4. Правовые основания обработки персональных данных в Компании
   1. Правовые основания для обработки персональных данных в Компании:
      1. федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании, в том числе, но не ограничиваясь: Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; Федеральный закон от 05.04.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», Федеральный закон от 01.04.1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете», Федеральный закон от 30.12.2008 г. №307-ФЗ «Об аудиторской деятельности»; 
      2. Устав Компании, локальные нормативные акты, принятые в Компании;
      3. согласие субъекта персональных данных на обработку его персональных данных;
      4. договоры гражданско-правового характера, которые заключает Оператор с контрагентами, приложения к данным договорам.
5. Права и обязанности субъектов персональных данных 
   1. Субъекты персональных данных обязаны:
      1. передавать в Компанию достоверные и документированные персональные данных, состав которых установлен трудовым законодательством Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
      2. своевременно сообщать Компании и представлять документы, подтверждающие изменение своих персональных данных.
   2. Субъекты персональных данных имеют право на:
      1. полную информацию об их персональных данных, обрабатываемых в Компании;
      2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
      3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 
      4. отзыв согласия на обработку персональных данных;
      5. принятие предусмотренных законом мер по защите своих прав;
      6. обжалование действия или бездействия Компании, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
      7. осуществление иных прав, предусмотренных законодательством Российской Федерации.
   3. Обработка в Компании специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
6. Права и обязанности Компании как оператора персональных данных
7. Компания обязана:

1. при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию об обработке персональных данных, предусмотренную Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»;
2. при отказе субъекта персональных данных в предоставлении его персональных данных, разъяснить последнему последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с федеральным законом;
3. в случае если персональные данные были получены не от субъекта персональных данных, уведомить об этом субъекта и предоставить ему информацию об обработке персональных данных, предусмотренную Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»;
4. опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6. давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
7. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. Компания имеет право:
   1. передавать обрабатываемые персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации;
   2. отказывать в предоставлении персональных данных в случаях, предусмотренным действующим законодательством Российской Федерации;
   3. осуществлять обработку персональных данных без согласия субъекта персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации.

7. Категории субъектов персональных данных, обрабатываемых Компанией
   1. В Компании осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
      1. работников Компании;
      2. кандидатов на замещение вакантных должностей в Компании;
      3. сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица) по гражданско-правовым договорам;
      4. членов органов управления Компании.
8. Объем и категории обрабатываемых в Компании персональных данных
   1. Обработка персональных данных работников Компании.
      1. Обработка персональных данных работников Компании осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, получения образования и продвижения по службе, заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя, исчисления и уплаты, предусмотренных законодательством РФ, налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц. При определении объема и содержания обрабатываемых персональных данных работника Компания должна руководствоваться Конституцией Российской Федерации и иными федеральными законами.
      2. Категории обрабатываемых персональных данных: общие. Состав персональных данных работников Компании: фамилия, имя, отчество; год, месяц, дата и место рождения; реквизиты документа, удостоверяющего личность; адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания; гражданство; идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе; номер свидетельства обязательного пенсионного страхования; дата регистрации в системе обязательного пенсионного страхования; номер полиса обязательного медицинского страхования; сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании; сведения о составе семьи (свидетельства о рождении детей); сведения об имущественном положении, доходах, задолженности; сведения о занимаемых ранее должностях и стаже работы; сведения о воинской обязанности, сведения о воинском учете (сведения, содержащиеся в военном билете); сведения из трудовой книжки: опыт работы, месте работы и должности; контактный телефон, почтовый и электронный адреса; сведения из пенсионного удостоверения.
      3. Срок обработки персональных данных работников Компании: в течение всего срока действия трудового договора и в сроки, установленные Приказом Росархива от 20.12.2019 г. № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
      4. Способы обработки персональных данных: автоматизированная и неавтоматизированная обработка персональных данных. Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
9. Обработка персональных данных кандидатов на замещение вакантных должностей в Компании.
   1. Целью обработки персональных данных кандидатов является содействие в трудоустройстве, привлечение и отбор кандидатов на работу в Компании, формирование и ведение реестра соискателей.
   2. Категории обрабатываемых персональных данных: общие. В перечень персональных данных кандидатов входят: фамилия, имя, отчество; дата рождения; место рождения; гражданство; реквизиты документа, удостоверяющего личность; адрес регистрации по месту жительства и (или) по месту пребывания; образование; ученая степень и звание; профессия; владение иностранными языками; сведения о трудовом стаже; сведения о предыдущих местах работы, опыте работы; сведения о заработной плате; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения о воинском учете; контактный телефон; контактный адрес электронной почты.
   3. Срок обработки персональных данных кандидатов на вакантные должности, в том числе тех, кто не были оформлены на работу: в течение 5 (пяти) лет с даты получения от кандидата согласия на обработку персональных данных.
   4. Способы обработки персональных данных: автоматизированная и неавтоматизированная обработка персональных данных. Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
10. Обработка персональных данных сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица) по гражданско-правовым договорам.
    1. Целью обработки персональных данных сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица) является исполнение обязательств по договорам, заключенным с контрагентами, обеспечение соблюдения законов и иных нормативных правовых актов, обеспечение бухгалтерского (налогового) учета, заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности.
    2. Категории обрабатываемых персональных данных: общие. В перечень персональных данных сотрудников/представителей контрагента (юридические лица) входят: фамилия, имя, отчество, номер телефона, адрес электронной почты, должность. В перечень персональных данных контрагентов (физические лица) входят: фамилия, имя, отчество, дата и место рождения, номер телефона, адрес электронной почты, паспортные данные, адрес регистрации, СНИЛС, ИНН, реквизиты банковского счета.
    3. Срок обработки персональных данных сотрудников/представителей контрагентов (юридические лица) и контрагентов (физические лица): в течение всего срока действия гражданско-правового договора и срока исковой давности после его завершения, если иные сроки обработки не установлены действующим законодательством РФ.
    4. Способы обработки персональных данных: автоматизированная и неавтоматизированная обработка персональных данных. Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
11. Обработка персональных данных членов органов управления Компании:
    1. Целью обработки персональных данных членов органов управления Компании является исполнение обязательств, предусмотренных действующим законодательством Российской Федерации и Уставом Компании. 
    2. В перечень персональных данных членов органов управления Компании входят: фамилия, имя, отчество, паспортные данные, реквизиты банковского счета, адрес регистрации, ИНН, данные о дате и месте рождения, информация о том, что лицо является членом органов управления Компании.
    3. Срок обработки персональных данных членов органов управления Компании: в течение всего срока действия трудового договора (если применимо) и в сроки, установленные Приказом Росархива от 20.12.2019 г. № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
    4. Способы обработки персональных данных: автоматизированная и неавтоматизированная обработка персональных данных. Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.
12.  Порядок и условия обработки персональных данных в Компании
13. Компания обрабатывает персональные данные следующими способами:
    1. неавтоматизированная обработка персональных данных;
    2. автоматизированная обработка персональных данных.

Компания вправе самостоятельно выбирать способы обработки персональных данных в зависимости от цели обработки и иных факторов.

2. Сроки обработки персональных данных.
   1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Росархива от 20.12.2019 г. № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными в настоящей Политике и законодательством РФ.
   2. Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
3. Передача персональных данных третьим лицам.
   1. Передача персональных данных, обрабатываемых в Компании, третьим лицам (включая надзорные, правоохранительные органы) возможна только в случаях, прямо предусмотренных действующим законодательством РФ и локальными нормативными актами Компании, либо в случае согласия субъекта персональных данных.
   2. В случае получения Компанией запроса от третьих лиц о предоставлении персональных данных, запрос подлежит обязательной проверке в целях контроля над обоснованностью предоставления запроса. При обоснованности полученного запроса Компания формирует ответ на запрос. При необоснованности запроса Компания направляет отправителю запроса письменное уведомление об отказе в предоставлении персональных данных.
   3. При передаче персональных данных Компания должна соблюдать следующие требования:
      1. не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;
      2. предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
      3. передавать персональные данные субъекта персональных данных его законным, полномочным представителям в порядке, установленном действующим законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4. Доступ к персональным данным.
   1. Доступ к персональным данным в Компании имеют только те работники, которым это необходимо для исполнения своих должностных обязанностей. К обработке персональных данных допускаются работники Компании, прошедшие процедуру допуска, к которой относятся:
      1. ознакомление работника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующих порядок и процедуру работы с персональными данными;
      2. получение от работника письменного обязательства о не разглашении персональных данных;
      3. получение работником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационной системе, содержащей персональные данные.
5. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

10.  Меры по обеспечению защиты персональных данных
    1. Для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в Компании принимаются следующие меры (требования к защите персональных данных):
       1. назначение ответственных работников за организацию обработки персональных данных в Компании;
       2. издание документов, определяющих политику Компании в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
       3. обеспечение неограниченного доступа к документу, определяющему политику Компании в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
       4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
       5. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам Компании;
       6. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых в Компании мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ ;
       7. ознакомление работников Компании, осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
11. Актуализация, исправление, удаление и уничтожение персональных данных
    1. Компания при обращении или по запросу субъекта персональных данных либо его  представителя, а также по запросу уполномоченного органа по защите прав субъектов персональных данных блокирует выявленные неточные персональные данные или неправомерно обрабатываемые персональные данные этого субъекта персональных данных с момента обращения или получения запроса на период проверки достоверности полученных сведений. 
    2. В случае подтверждения факта неточности персональных данных Компания на основании документально подтверждённых сведений, представленных субъектом персональных данных, уточняет персональные данные и снимает блокирование персональных данных в течение срока, установленного ч. 2 ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». 
    3. В случае выявления неправомерной обработки персональных данных Компания прекращает неправомерную обработку персональных данных, а в случае, если обеспечить правомерность обработки персональных данных невозможно по различным причинам, то Оператор уничтожает такие персональные данные в течение сроков, установленных ч. 3 ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
    4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором между Компанией и субъектом персональных данных.
    5. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок не более 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором между Компанией и субъектом персональных данных.
12. Ответы на запросы субъектов персональных данных на доступ к персональным данным
    1. В Компании действия по обработке запросов субъектов персональных данных при выполнении Компанией обязательств, согласно требованиям ст.14, 20 и 21 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», регламентированы.
    2. Регламент обработки запросов субъектов персональных данных определяет порядок действий  Компании и сроки подготовки ответов при получении письменного запроса субъекта персональных данных (его представителя).
13. Изменение Политики 
    1. Компания вправе вносить изменения в настоящую Политику. При этом при внесении изменений в Политику Компания размещает актуальную версию Политики на официальном сайте Компании и указывает в начале документа дату утверждения соответствующей редакции Политики.
    2. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Компании.