Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки и защиты персональных данных (далее — «Политика») определяет основные цели, принципы, порядок, условия обработки и меры по защите персональных данных, которые обрабатываются в ООО «ДОД».

1.2. Настоящая Политика разработана в соответствии с требованиями:

· Конституции Российской Федерации;

· Гражданского кодекса Российской Федерации;

· Трудового кодекса Российской Федерации;

· Налогового кодекса Российской Федерации;

· Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

· Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

· Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

· иных нормативных правовых актов Российской Федерации и локальных актов Общества, регулирующих вопросы обработки и защиты персональных данных.

1.3. Цель принятия настоящей Политики:

· обеспечение соблюдения прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

· установление единого порядка обработки, хранения и защиты персональных данных в ООО «ДОД», с применением средств автоматизации и без применения таких средств;

· предотвращение несанкционированного доступа и/или незаконной обработки персональных данных.

1.4. Действие настоящей Политики распространяется на работников ООО «ДОД» и иных лиц, которым в связи с исполнением функциональных обязанностей или договорных отношений может быть предоставлен доступ к персональным данным, обрабатываемым в Обществе.

1.5. Настоящая Политика подлежит размещению на официальном сайте Общества https://dod-ru.ru/ и доступна для ознакомления неограниченному кругу лиц.

1.6. Оператор персональных данных: Общество с ограниченной ответственностью «Департамент оценочной деятельности», сокращённое наименование: ООО «ДОД», ИНН 2466247737, КПП 246601001, ОГРН 1122468002414, юридический адрес: 660049, Красноярский край, г. Красноярск, ул. Карла Маркса, д. 88, помещ. 63, сайт: https://dod-ru.ru/, email: info@dod-ru.ru. 

2. Термины и определения

Для целей настоящей Политики используются основные термины и определения, установленные законодательством Российской Федерации о персональных данных. В частности:

«Оператор» — ООО «ДОД» («Общество»), которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав подлежащих обработке персональных данных и действия (операции), совершаемые с персональными данными.

«Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

«Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, распространение, обезличивание, блокирование, удаление, уничтожение.

«Субъект персональных данных» — физическое лицо, к которому относятся обрабатываемые персональные данные.

«Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

«Информационная система персональных данных» — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

«Трансграничная передача персональных данных» — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

«Сайт» — совокупность графических и информационных материалов, программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет, расположенных по сетевому адресу https://dod-ru.ru/.

«Пользователь» — любое физическое лицо, субъект персональных данных, которое посещает Сайт и/или сервисы ООО «ДОД» в сети Интернет, пользуется размещенной на них информацией, а также программными продуктами ООО «ДОД».

«Cookie-файлы» — небольшие текстовые файлы, сохраняемые на устройстве Пользователя при посещении Сайта и используемые для обеспечения работы Сайта, анализа его посещаемости и улучшения качества сервиса.

«Метрическая программа» — сервис веб-аналитики, используемый для сбора статистических сведений о посещаемости Сайта и действиях Пользователей на Сайте. На Сайте используется сервис Яндекс.Метрика.

3. Правовые основания обработки персональных данных

3.1. Основаниями для обработки персональных данных в ООО «ДОД» являются:

· федеральные законы Российской Федерации и принятые в соответствии с ними нормативные правовые акты;

· Устав и локальные нормативные акты Общества;

· договоры, стороной или выгодоприобретателем по которым является субъект персональных данных;

· согласия субъектов персональных данных на обработку их данных, в том числе согласия на распространение персональных данных при необходимости;

· публичные оферты, договоры-оферты, акцепт которых осуществляется субъектами персональных данных путем принятия условий, предусмотренных соответствующей офертой.

· согласие Пользователя на обработку персональных данных, предоставляемое путем проставления отметки в соответствующем поле формы на Сайте перед отправкой заявки, обращения или иной формы.

· согласие Пользователя на использование cookie-файлов и обработку сведений, собираемых посредством метрической программы, выражаемое через cookie-уведомление на Сайте, если такое согласие требуется для соответствующей категории cookie-файлов.

4. Цели обработки персональных данных

ООО «ДОД» обрабатывает персональные данные в следующих целях:

· организация и производство экспертиз, обследований и исследований для разрешения вопросов, требующих специальных познаний;

· заключение и исполнение договоров с субъектами персональных данных, в том числе с физическими лицами и организациями, представители которых являются субъектами персональных данных;

· продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи при наличии согласия субъекта персональных данных;

· ведение кадрового и бухгалтерского учета и отчетности, исполнение трудового, налогового законодательства Российской Федерации, а также воинского учета;

· подбор персонала на вакантные должности;

· ведение единого корпоративного справочника;

· публикация на сайте Общества персональных данных, разрешенных субъектом для распространения;

· соблюдение налогового законодательства Российской Федерации;

· оказание обратной связи через формы на Сайте, прием заявок, обращений, запросов и подготовка ответов на них;

· обеспечение соблюдения трудового законодательства Российской Федерации;

· организация социально значимых и корпоративных мероприятий;

· обработка материалов судебных дел, связанных с оценочной и экспертной деятельностью, когда это прямо предусмотрено законом или необходимо для исполнения обязательств Общества.

· сбор и анализ сведений об использовании Сайта с применением cookie-файлов и сервиса Яндекс.Метрика для анализа посещаемости, улучшения структуры и содержания Сайта, повышения удобства пользования Сайтом и выявления технических ошибок.

5. Категории и объем обрабатываемых персональных данных

С учетом сферы деятельности ООО «ДОД» обрабатываются, в частности, следующие персональные данные:

5.1. Заключение и исполнение договоров: фамилия, имя, отчество; дата и место рождения; семейное положение; имущественное положение; сведения о доходах; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные о гражданстве; данные документа, удостоверяющего личность; ИНН; СНИЛС; банковские реквизиты; профессия; должность; сведения об образовании; сведения о государственной или муниципальной службе; данные водительского удостоверения; сведения о владении автомобилем; изображение лица в случаях, предусмотренных законом или договором; сведения об индивидуальном предпринимателе или плательщике налога на профессиональный доход; иные персональные данные, предоставленные контрагентами.

5.2. Продвижение товаров, работ, услуг: фамилия, имя, отчество; пол; адрес электронной почты; номер телефона; сведения, собираемые посредством метрических программ, если такие сведения используются для указанной цели и при наличии предусмотренного законом основания.

5.3. Ведение кадрового и бухгалтерского учета: фамилия, имя, отчество; дата и место рождения; семейное положение; сведения о доходах; пол; адрес электронной почты; адреса места жительства и регистрации; ИНН; СНИЛС; номер телефона; данные о гражданстве; документы, удостоверяющие личность; банковские реквизиты; профессия; должность; сведения о воинском учете; сведения о трудовой деятельности; сведения об образовании; сведения о детях работников в объеме, необходимом для предоставления гарантий и компенсаций, предусмотренных законом.

5.4. Подбор персонала: фамилия, имя, отчество; дата и место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства и регистрации; ИНН; СНИЛС; номер телефона; данные о гражданстве; профессия; сведения об образовании, квалификации, стаже, трудовой деятельности, отношении к воинской обязанности; сведения о наличии судимости и состоянии здоровья только в случаях, предусмотренных законодательством Российской Федерации.

5.5. Ведение единого справочника телефонов и электронной почты: фамилия, имя, отчество; месяц и дата рождения; адрес электронной почты; номер телефона; должность; наименование работодателя; наименование и адрес структурного подразделения.

5.6. Публикация на сайте Организации персональных данных, разрешенных для распространения: фамилия, имя, отчество; должность; наименование структурного подразделения; сведения о трудовой деятельности; сведения об образовании; фотографическое изображение — при наличии надлежащего согласия субъекта персональных данных.

5.7. Обработка заявок и обращений через формы Сайта: имя; фамилия и отчество, если указываются в форме; номер телефона; адрес электронной почты; текст сообщения, заявки или обращения; иные сведения, которые Пользователь самостоятельно указывает в форме на Сайте.

5.8. Сбор сведений об использовании Сайта: данные, автоматически передаваемые при посещении страниц Сайта, включая cookie-файлы, дату и время доступа, адрес посещенной страницы, источник перехода, реферер, сведения о просмотренных страницах, действиях Пользователя на Сайте, типе устройства, браузере, операционной системе, технических характеристиках устройства, IP-адресе, а также иные сведения, собираемые посредством сервиса Яндекс.Метрика.

5.9. Организация социально значимых и корпоративных мероприятий: фамилия, имя; номер телефона; адрес электронной почты; наименование работодателя; должность; структурное подразделение; сведения о посещении мероприятий.

5.10. Материалы судебных дел в рамках судебно-экспертной и оценочной деятельности, если это предусмотрено законом или договором: персональные данные, содержащиеся в документах судебных органов, поступивших в адрес Общества.

6. Принципы и способы обработки персональных данных

6.1. Обработка персональных данных осуществляется на основе следующих принципов:

· законность целей и способов обработки персональных данных;

· добросовестность и справедливость;

· соответствие объема обрабатываемых персональных данных заявленным целям;

· точность, достаточность и актуальность персональных данных;

· хранение персональных данных не дольше, чем этого требуют цели обработки, если иной срок не установлен законом, договором или согласием субъекта;

· обеспечение конфиденциальности и безопасности персональных данных.

6.2. При обработке персональных данных, сообщенных Обществу посредством использования Сайта, приложений, мессенджеров, социальных сетей, иных сервисов и программных продуктов Общества, Общество исходит из того, что субъект персональных данных предоставляет достоверную и достаточную информацию и поддерживает ее в актуальном состоянии.

6.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором или согласием субъекта персональных данных.

6.4. Общество, получившее доступ к персональным данным, обеспечивает их конфиденциальность и не раскрывает персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.5. Обработка персональных данных осуществляется смешанным способом: с использованием средств автоматизации и без использования таких средств.

7. Согласия на обработку персональных данных

7.1. Общество получает согласия на обработку персональных данных у субъектов следующими способами:

· при подписании согласия на обработку персональных данных работниками;

· при подписании договоров об оказании услуг, в том числе договоров-оферт, либо путем акцепта публичной оферты на Сайте, когда это соответствует требованиям законодательства;

· при согласии на получение рекламных и маркетинговых рассылок, если субъект желает получать такую информацию.

· при отправке формы на Сайте — путем проставления Пользователем отдельной отметки в чекбоксе согласия на обработку персональных данных. Чекбокс не должен быть отмечен заранее, а форма не должна отправляться без подтверждения согласия, если обработка осуществляется на основании согласия.

7.2. На Сайте должно быть размещено отдельное «Согласие на обработку персональных данных», ссылка на которое указывается рядом с чекбоксом в формах. Ссылка на Политику обработки персональных данных размещается отдельно от ссылки на Согласие.

7.3. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие оформляется отдельно от иных документов и информации, которые подтверждает Пользователь.

7.4. Отдельное письменное согласие оформляется, если требуется обработка специальных категорий персональных данных или персональных данных, разрешенных субъектом для распространения, в случаях, установленных Федеральным законом «О персональных данных».

8. Обработка данных Пользователей Сайта, cookie-файлы и Яндекс.Метрика

8.1. На Сайте используются cookie-файлы, необходимые для корректной работы Сайта, сохранения пользовательских настроек, работы форм, обеспечения безопасности Сайта, а также для анализа посещаемости Сайта.

8.2. На Сайте используется сервис веб-аналитики Яндекс.Метрика, предоставляемый ООО «ЯНДЕКС». Сервис может использовать cookie-файлы и собирать сведения о действиях Пользователей на Сайте, включая сведения о просмотренных страницах, времени посещения, источнике перехода, типе устройства, браузере, операционной системе и иных технических параметрах.

8.3. Сведения, собираемые с использованием cookie-файлов и Яндекс.Метрики, используются Оператором для анализа посещаемости Сайта, улучшения его структуры, содержания, удобства использования, а также для выявления технических ошибок.

8.4. При первом посещении Сайта Пользователю показывается уведомление об использовании cookie-файлов и метрической программы. Пользователь может принять использование cookie-файлов путем нажатия соответствующей кнопки в уведомлении. Пользователь также может ограничить или удалить cookie-файлы в настройках своего браузера.

8.5. При отключении cookie-файлов отдельные функции Сайта могут работать некорректно.

9. Передача и поручение обработки персональных данных

9.1. В ряде случаев Общество поручает обработку персональных данных третьим лицам на основании договора, заключенного в письменной форме. В таком договоре определяются цели и объем обработки, перечень действий с персональными данными, сроки обработки и обязательства по обеспечению конфиденциальности и безопасности персональных данных.

9.2. Передача персональных данных без поручения возможна только при наличии согласия субъекта персональных данных или иного законного основания, включая передачу государственным органам в случаях, прямо установленных законом, банкам и платежным системам для осуществления расчетов, курьерским и почтовым службам при доставке документов.

9.3. Трансграничная передача персональных данных не осуществляется, за исключением случаев, когда это предусмотрено законодательством Российской Федерации и при условии соблюдения требований статьи 12 Федерального закона «О персональных данных». При использовании Сайта и сервиса Яндекс.Метрика трансграничная передача персональных данных Оператором не осуществляется.

10. Сроки хранения и уничтожение персональных данных

10.1. Сроки хранения персональных данных определяются действующим законодательством Российской Федерации, сроками давности по договорным обязательствам, локальными нормативными актами Общества, а также целями обработки персональных данных.

10.2. По достижении целей обработки персональных данных или в случае отзыва субъектом согласия, если отсутствуют иные законные основания продолжать обработку, персональные данные подлежат уничтожению либо обезличиванию в сроки, установленные законодательством и локальными актами Общества.

10.3. Уничтожение персональных данных осуществляется по достижении цели обработки, в случае утраты необходимости в достижении целей обработки, при отзыве согласия субъекта персональных данных, а также по требованию субъекта или уполномоченного органа, если выявленные нарушения невозможно устранить.

10.4. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

11. Меры, принимаемые для защиты персональных данных

11.1. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

11.2. К таким мерам относятся:

· назначение лица, ответственного за организацию обработки персональных данных;

· издание настоящей Политики и иных локальных документов по вопросам обработки и защиты персональных данных;

· определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

· применение организационных и технических мер по обеспечению безопасности персональных данных;

· учет машинных носителей персональных данных;

· обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;

· разграничение доступа работников к информации, содержащей персональные данные, в соответствии с их должностными обязанностями;

· установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

· ограничение доступа в помещения, где размещены технические средства обработки персональных данных и хранятся носители информации;

· соблюдение требований законодательства Российской Федерации о персональных данных и локальных нормативных актов Общества.

11.3. ООО «ДОД» реализует комплекс иных правовых, организационных и технических мер для обеспечения конфиденциальности и безопасности персональных данных, в том числе разграничение прав доступа к электронным системам, использование средств защиты информации, резервное копирование, заключение соглашений о неразглашении и обучение работников.

11.4. У Общества не используются биометрические системы доступа, за исключением случаев, когда это может потребоваться по закону и с согласия субъекта персональных данных.

12. Права и обязанности Оператора

12.1. Оператор персональных данных имеет право:

· предоставлять персональные данные третьим лицам при наличии согласия субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации;

· мотивированно отказать субъекту персональных данных или его представителю в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных, при наличии оснований, предусмотренных законодательством Российской Федерации.

12.2. Оператор персональных данных обязан:

· знать и выполнять требования законодательства Российской Федерации в области персональных данных;

· предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

· разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если их предоставление является обязательным в соответствии с федеральным законом;

· обеспечивать сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление и уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;

· обеспечивать конфиденциальность персональных данных;

· принимать необходимые правовые, организационные и технические меры для защиты персональных данных;

· опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике и сведениям о реализуемых требованиях к защите персональных данных.

12.3. Оператор при сборе персональных данных с использованием Сайта обеспечивает размещение настоящей Политики на Сайте, а также размещение отдельного Согласия на обработку персональных данных для форм обратной связи, заявок и обращений.

12.4. Оператору запрещается использовать сведения, содержащие персональные данные, в целях, не соответствующих заявленным целям обработки, а также передавать персональные данные по незащищенным каналам связи без принятия необходимых мер защиты.

12.5. Виновные в нарушении требований законодательства в области персональных данных несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

12.6. Ответственным за организацию обработки персональных данных, а также за контроль соблюдения требований настоящей Политики является директор Общества.

13. Права и обязанности субъектов персональных данных

13.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

· подтверждение факта обработки персональных данных;

· правовые основания и цели обработки персональных данных;

· цели и применяемые Оператором способы обработки персональных данных;

· сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;

· обрабатываемые персональные данные, относящиеся к соответствующему субъекту, и источник их получения;

· сроки обработки персональных данных, в том числе сроки их хранения;

· порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

· информацию об осуществленной или предполагаемой трансграничной передаче данных при наличии такой передачи;

· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена такому лицу.

13.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных законодательством Российской Федерации.

13.3. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

13.4. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Общества в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

13.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

13.6. Субъект персональных данных обязан предоставлять Обществу достоверные персональные данные и своевременно сообщать об их изменении.

14. Актуализация, исправление, блокирование персональных данных

14.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат актуализации, а неправомерная обработка должна быть прекращена.

14.2. В случае поступления от субъекта персональных данных или его представителя запроса об уточнении, блокировании или уничтожении персональных данных Общество проверяет подтверждающие документы, вносит необходимые исправления и уведомляет субъекта персональных данных или его представителя.

14.3. Блокирование персональных данных осуществляется Обществом по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, предусмотренных законодательством.

15. Заключительные положения

15.1. Настоящая Политика вступает в силу со дня ее утверждения и действует до ее отмены или принятия новой редакции.

15.2. Общество оставляет за собой право вносить изменения в настоящую Политику. Все изменения и дополнения принимаются в том же порядке, что и сама Политика.

15.3. В случае изменения действующего законодательства Российской Федерации о персональных данных до внесения соответствующих изменений в настоящую Политику Общество руководствуется непосредственно нормами законодательства Российской Федерации.

15.4. Настоящая Политика опубликована на корпоративном сайте https://dod-ru.ru/ и доступна для ознакомления неограниченному кругу лиц.

15.5. По вопросам обработки персональных данных субъект персональных данных может обратиться к Оператору по адресу электронной почты: info@dod-ru.ru.