2. Основные права и обязанности Оператора (Работодателя) и Работника в области персональных данных
2.1. Оператор имеет право:
2.1.1. Оператор имеет право осуществлять обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Российской Федерации (далее - РФ), положениям настоящей Политики и иных локальных актов Оператора.
2.1.2. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных.
2.1.3. Поручить обработку персональных данных другому лицу с согласия Работника, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Работодателя, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством об обработке персональных данных.
2.1.4. В случае отзыва Работником согласия на обработку персональных данных Работодатель вправе продолжить обработку персональных данных без согласия Работника при наличии оснований, указанных в законе.
2.2. Оператор обязан:
2.2.1. за свой счет обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
2.2.2. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
2.2.3. обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;
2.2.4. по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2.2.5. вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам;
2.2.6. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
2.2.7. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральным законодательством РФ, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
2.2.8. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных;
2.2.9. предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством РФ;
2.2.10. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.3. Субъекты персональных данных или их законные представители имеют право:
2.3.1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
2.3.2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законодательством РФ;
2.3.3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработка которых ведется с нарушением законодательства РФ;
2.3.4. при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
2.3.5. требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
2.3.6. обжаловать в суде любые неправомерные действия или бездействие Оператора или уполномоченного им лица, осуществляемые при обработке и защите персональных данных субъекта.
2.4. Субъекты персональных данных или их законные представители, обязаны:
2.4.1. предоставлять Оператору персональные данные, соответствующие действительности;
2.4.2. в срок, не превышающий 3 (трёх) рабочих дней уведомлять Оператора обо всех изменениях персональных данных.
3. Цели сбора персональных данных
3.1. Для каждой категории персональных данных Оператором определены и утверждены конкретные цели обработки. Обработка персональных данных, несовместимая с утвержденными целями, не допускается.
3.2. Оператором обрабатываются следующие виды персональных данных:
3.2.1. общие персональные данные: фамилия, имя, отчество; дата рождения; место рождения; адрес регистрации; адрес места жительства; ИНН; СНИЛС; сведения об.образовании; паспортные данные; сведения о трудовом и страховом стаже; семейное положение; состав семьи; профессия, специальность; доходы; возраст; номер телефона; адрес электронной почты; данные водительского удостоверения; отношение к воинской обязанности; сведения о предыдущих местах работы; реквизиты персональных банковских счетов; сведения о социальных льготах; иные персональные данные.
3.3. Персональные данные обрабатываются Оператором, в том числе в следующих целях:
3.3.1. рассмотрения кандидатуры для трудоустройства на вакантные должности Оператора;
3.3.2. исполнения обязательств работодателя, предусмотренных трудовыми договорами и законодательством РФ;
3.3.3. регулирования трудовых отношений и иных непосредственно связанных с ними отношений (трудоустройство, исполнение взаимных прав и обязанностей, продвижение по службе; контроль количества и качества выполняемой работы, оформление кадровых документов, обеспечение личной безопасности работников, обеспечение оборудованием, обеспечение сохранности имущества, расторжение трудового договора и т.п.)
3.3.4. расчета, начисления и перечисления заработной платы и иных выплат;
3.3.5. обеспечения пропускного режима на территорию Оператора;
3.3.6. оформления необходимых документов на время служебной командировки, служебной поездки;
3.3.7. оформления доверенностей;
3.3.8. исполнения обязанностей, возложенных законодательством РФ на Оператора, в том числе связанных с представлением персональных данных в налоговые органы, Фонд пенсионного и социального страхования, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
3.3.9. оформления добровольного медицинского страхования, страхования от несчастных случаев и других видов страхования;
3.3.10. заключения, исполнения и расторжения гражданско-правовых договоров.
3.4. Полный перечень целей обработки персональных данных определяется Положением об обработке персональных данных Оператора.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4. Правовые основания обработки персональных данных
4.1. Обработка категорий персональных данных, указанных в пункте 5 настоящей Политики, помимо прочего, осуществляется в соответствии с требованиями:
Налогового кодекса РФ, Федерального закона № 402-ФЗ «О бухгалтерском учете», Федерального закона № 125-ФЗ "Об архивном деле в Российской Федерации", приказа Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", иных нормативно-правовых актов РФ, в рамках осуществления и выполнения, возложенных законодательством РФ на Оператора функций, полномочий и обязанностей.
4.2. Обработка персональных данных соискателей (кандидатов) на должность осуществляется на основании:
трудового законодательства, Федерального закона "О занятости населения в Российской Федерации", согласия субъекта персональных данных на обработку его персональных данных, договоров с рекрутинговыми сайтами, подтверждающих наличие согласия или других правовых основания для передачи персональных данных Оператору.
4.3. Обработка персональных данных работников осуществляется на основании:
трудового, пенсионного и налогового законодательства РФ, законодательства РФ о государственной социальной помощи и социального страхования, согласия субъекта персональных данных на обработку его персональных данных, договора стороной и выгодоприобретателем по которому является субъект персональных данных.
4.4. Обработка персональных данных родственников работников осуществляется на основании:
трудового, налогового законодательства РФ, законодательства РФ о государственной социальной помощи, согласия субъекта персональных данных на обработку его персональных данных.
4.5. Обработка персональных данных представителей контрагентов осуществляется на основании:
договоров с контрагентами, подтверждающих наличие согласия или других правовых основания для передачи персональных данных Оператору.
4.6. Обработка персональных данных контрагентов-физических лиц осуществляется на основании:
договоров стороной и выгодоприобретателем по которому является субъект персональных данных, налогового законодательства РФ.
4.7. Обработка персональных данных физических лиц осуществляется на основании согласий субъектов персональных данных.
5. Категории субъектов персональных данных
5.1. Оператором обрабатываются персональные данные следующих категорий субъектов:
5.1.1. Кандидаты на должность (соискатели)
5.1.2. Работники
5.1.3. Представители контрагентов
5.1.4. Контрагенты-физические лица
5.1.6. Физические лица
5.1.7. Родственники и члены семей работников
6. Порядок и условия обработки персональных данных
6.1. Все персональные данные Оператор получает непосредственно от субъекта персональных данных, от его представителя либо от лица, поручившего Оператору обработку персональных данных, за исключением случаев, предусмотренных законодательством РФ.
6.2. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ. Согласие может быть выражено в различных формах, позволяющих подтвердить факт его получения, в том числе в конклюдентных действиях, в письменном виде в форме отдельного документа, либо в составе какого-либо документа, подписываемого субъектом.
Согласие субъекта на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются Приказом Роскомнадзора от 24.02.2021г. №18.
6.3. Согласие может быть дано представителем субъекта, при предоставлении им доказательств своих полномочий.
6.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, предусмотренных законодательством РФ, обработка персональных данных может быть продолжена даже после отзыва субъектом согласия на обработку.
6.5. Персональные данные не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
6.6. Доступ к персональным данным имеют работники Оператора, которым персональные данные необходимы в связи с исполнением ими должностных обязанностей.
6.7. Передача персональных данных работника Оператора третьим лицам, осуществляется только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством РФ.
6.8. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (поручение Оператора). В поручении Оператора должны быть определены:
-перечень персональных данных;
-перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
-цели их обработки;
-обязанность другого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
-обязанность другого лица соблюдать требования ч. 5 ст. 18 и 18.1 Закона о персональных данных;
-обязанность другого лица в течение срока действия поручения оператора, в том числе до обработки персональных данных по запросу Оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии ч. 5 ст. 18, ст.18.1, ст. 19 Закона о персональных данных;
-требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных;
-требование об уведомлении Оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
6.9. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям и в объеме, предусмотренным действующим законодательством РФ.
6.10. В случае необходимости передачи Оператором персональных данных третьим лицам, она осуществляется только после подписания между Оператором и третьей стороной соглашения о неразглашении конфиденциальной информации, за исключением случаев, предусмотренных законодательством РФ.
6.11. Передача персональных данных субъекта в коммерческих целях без его письменного согласия не осуществляется.
6.12. Обработка персональных данных осуществляется как использованием средств вычислительной техники, так и без использования таковых средств.
6.13. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
6.14. Сроки обработки персональных данных Оператором в общем случае определяются в соответствии со сроками, установленными Законом о персональных данных; сроком действия соответствующего договора; сроками, оговоренными в поручении на обработку персональных данных; сроками действия документов, установленными приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения"; сроком исковой давности; сроком действия согласия, данного субъектом персональных данных на их обработку; а также иными требованиями законодательства РФ.
6.15. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
6.16. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
6.17. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
6.18. При использовании типовых форм документов, заполняемых субъектом персональных данных собственноручно, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:
-типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
-типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации - при необходимости получения письменного согласия на обработку персональных данных;
-типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
-типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
6.14. Обработка персональных данных осуществляется до момента достижения целей обработки персональных данных либо до отзыва субъектом персональных данных согласия на обработку персональных данных, в зависимости от того, какое событие наступит раньше.
6.15. Персональные данные подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, либо получения отзыва на их обработку. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
7. Защита персональных данных
6.1. Оператор обеспечивает защиту персональных данных субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
6.2. Оператор приказом назначает лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных.
6.3. Оператором проводится оценка вреда, который может быть причинен субъектам персональных данных, а также регулярно проводится анализ условий и факторов, создающих угрозы безопасности персональных данных при их обработке.
6.4. Защита персональных данных обеспечивается Оператором в установленном действующим законодательством РФ и локальными актами Оператора порядке, путем выполнения комплекса организационно-технических мероприятий, обеспечивающих их безопасность.
6.5. Все меры защиты при сборе, обработке, хранении и передаче персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.6. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8. Актуализация, исправление, удаление и уничтожение персональных данных
8.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить персональные данные в соответствии с законодательством Российской Федерации.
8.2. По запросу субъекта персональных данных Оператор обязан:
- предоставить сведения о наличии у оператора персональных данных субъекта; -предоставить возможность ознакомления с персональными данными субъекта, за исключением случаев, предусмотренных положениями ч. 5 ст. 14 Закона о персональных данных; -уточнить недостоверные или изменившиеся персональные данные; -блокировать или уничтожить персональные данные в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта.
8.3. Запрос субъекта персональных данных должен быть отправлен Оператору в бумажном виде и содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта персональных данных или его законного представителя.
8.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации на электронную почту: sentiss@sentiss.ru .
8.5. При поступлении запроса обращения субъектов ответственный работник Оператора обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов.
8.6.Ответ, либо мотивированный отказ, должны быть отправлены в течение 10 дней с даты получения запроса от субъекта персональных данных. Ответ должен содержать конкретную и исчерпывающую информацию, касающуюся сути вопроса.
9. Изменение Политики
9.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
9.2. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: 115432 Москва, Проектируемый 4062-й проезд, д. 6, стр. 16, БЦ "Портплаза", этаж 4, офис 12.
9.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе на сайте Оператора по адресу: www.sentiss.ru
9.4. К настоящей Политике и отношениям между субъектами персональных данных и Оператором подлежит применению право Российской Федерации.
10. Обратная связь
10.1. Адрес электронной почты: sentiss@sentiss.ru .
10.2. Почтовый адрес: 115432 Москва, Проектируемый 4062-й проезд, д. 6, стр. 16, БЦ "Портплаза", этаж 4, офис 12.
10.3. Контактный номер телефона: +7 (495) 229-7663. Приложения:
1. Форма Обязательства о неразглашении персональных данных
2. Форма Запроса информации, касающейся персональных данных