1. Область применения
1.1 Настоящая Политика закрытого акционерного общества «ДИДЖИТАЛ ДИЗАЙН» (далее - ЗАО «ДИДЖИТАЛ ДИЗАЙН») в отношении обработки персональных данных (далее — Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ЗАО «ДИДЖИТАЛ ДИЗАЙН» (далее — Оператор).
1.2 Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.3 Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.4 Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.5 Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
2. Сведения об операторе
2.1 Полное наименование Компании ЗАО «ДИДЖИТАЛ ДИЗАЙН», ИНН 7803009412, ОГРН 1037843033458, адрес места нахождения 199155, Санкт-Петербург, ул. Одоевского, д. 28, пом. 13-Н. Фактический адрес: 199178, Санкт-Петербург, наб. реки Смоленки, 33, лит.А.
3. Правовые основания обработки персональных данных
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2 Правовым основанием обработки персональных данных также являются:
- ПЛ 008 Положение о Компании ЗАО «ДИДЖИТАЛ ДИЗАЙН»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
4. Основные права и обязанности Оператора
Оператор имеет право:
4.1 Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» и нормативно-правовыми актами Российской Федерации по защите информации, если иное не предусмотрено Федеральным Законом «О персональных данных» или другими федеральными законами;
4.2 В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном Законе «О персональных данных».
Оператор обязан:
4.3 Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
4.4 При сборе ПДн предоставлять субъекту ПДн по его просьбе информацию, касающуюся обработки его персональных данных.
4.5 При сборе ПДн, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.6 Предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных при обращении субъекта персональных данных или его представителя. Перечень обрабатываемых персональных данных предоставляется субъекту по запросу в электронном или бумажном виде. Ознакомление непосредственно с персональными данными субъекта осуществляется в бумажном виде.
4.7 В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
4.8 В случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект персональных данных.
5. Права субъектов персональных данных
5.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных разделом 10 настоящей Политики;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
5.2 Указанные сведения предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.3 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4 Субъект персональных данных имеет право на отзыв данного им согласия на обработку персональных данных путем направления Оператору письменного уведомления об отзыве, а также на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке, и на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.5 Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью надлежащим образом уполномоченного представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
6. Трансграничная передача персональных данных на территории иностранных государств
6.1 Трансграничная передача персональных данных Оператором не осуществляется.
7. Цели сбора персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.2 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
7.3 Обработка Оператором персональных данных осуществляется с целью:
a) обеспечения кадрового и бухгалтерского учета,
b) регулирования трудовых отношений,
c) рассмотрения возможности заключения трудового договора с субъектом персональных данных,
d) заключения договоров и выполнения договорных обязательств перед контрагентами Оператора, партнерами и пользователями интернет-сайта.
7.4 Для выполнения указанных целей Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
Для целей а), b) и с):
- работники, состоящие в трудовых отношениях с Оператором,
- кандидаты, направившие резюме для замещения вакантных должностей,
- бывшие работники Оператора,
Для целей d):
- партнеры,
- контрагенты Оператора,
- пользователи сайта Оператора,
- лица, персональные данные которых были переданы оператору контрагентами и пользователями интернет-сайта оператора для выполнения оператором своих договорных обязательств перед этими контрагентами и пользователями.
7.5 Оператор осуществляет обработку следующих категорий персональных данных:
Для целей а), b) и с):
- Фамилия, имя, отчество;
- Дата рождения;
- Место рождения;
- Адрес;
- Семейное положение;
- Социальное положение;
- Имущественное положение;
- Образование;
- Профессия;
- Доходы;
- ИНН;
- Реквизиты документов об образовании;
- Данные паспорта;
- Сведения из личных карточек, трудовых книжек;
- Сведения воинского учета;
- Половая принадлежность;
- Гражданство;
- Сведения о близких родственниках;
- Контактные телефоны;
- Данные пенсионных и медицинских страховых свидетельств;
- Данные об опыте работы, трудовом стаже;
- Данные об авторстве и правообладании результатами интеллектуальной деятельности;
Для целей d):
- Фамилия, имя, отчество;
- Адрес электронной почты;
- Номер контактного телефона;
- Наименование приобретаемой услуги;
7.6 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7.7 Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.
7.8 Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
8. Порядок и условия обработки персональных данных
8.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
8.2 Оператор обрабатывает персональные данные работников, в том числе персональные данные, разрешенные работниками для распространения, с их письменного согласия.
8.3 Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
8.4 К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
8.5 Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы обработки персональных данных Оператора;
8.6 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
8.7 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, согласием на обработку.
8.8 Уничтожение персональных данных осуществляется по запросу субъекта персональных данных или при принятии решения оператором персональных данных о необходимости уничтожения, если решение не противоречит Трудовому Кодексу РФ и иным федеральным законам. Уничтожение персональных данных сопровождается актом уничтожения.
8.9 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
9. Реализуемые требования к защите персональных данных
9.1 Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
9.2 Оператор применяет комплекс обязательных правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерного или случайного доступа к ним, а также для защиты прав и законных интересов субъектов персональных данных, в частности:
- обеспечивает неограниченный доступ к настоящей Политике, которая размещена по адресу Оператора, а также на Интернет-сайте Оператора;
- утверждает и приводит в действие документ «Правила обработки персональных данных» (далее — Правила) и иные локальные акты;
- производит ознакомление работников с Политикой и Правилами обработки персональных данных;
- ограничивает доступ к техническим средствам и в служебные помещения, осуществляет допуск работников Оператора к персональным данным, обрабатываемым в информационных системах Оператора, а также к их материальным носителям, только для выполнения работниками трудовых обязанностей;
- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
- производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
- производит определение и оценку угроз безопасности персональных данных при их обработке в информационных системах Оператора;
- применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
- осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию и ликвидации последствий компьютерных атак на ИСПДн, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем Оператора;
- осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике в отношении обработки персональных данных ЗАО «ДИДЖИТАЛ ДИЗАЙН», Правилам обработки персональных данных в ЗАО «ДИДЖИТАЛ ДИЗАЙН» и иным локальным актам, включая контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационных системах Оператора;
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уведомляет уполномоченный орган по защите прав субъектов персональных данных, действуя согласно инструкции ответственного за организацию обработки ПДн и выполняя требования ФЗ «О персональных данных»;
- выполняет иные требования законодательства.
10. Ответственность за нарушение законодательства в области обработки персональных данных
10.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут предусмотренную действующим законодательством ответственность: дисциплинарную, административную, гражданско-правовую.
Условия политики в отношении обработки персональных данных