1.4. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным Законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации.
1.5. Настоящая Политика, все дополнения и изменения к ней утверждаются приказом ООО «ДиалогСофт Продажи».
1.6. Политика подлежит опубликованию на официальном сайте Оператора - https://dlgsoft.ru/.
1.7. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Оператором, как с использованием средств автоматизации, так и без таковых.
1.8. Политика применяется ко всем работникам Оператора.
2. Цели обработки персональных данных
- ведение кадрового и бухгалтерского учета;
- заключение, исполнение и прекращение гражданско-правовых договоров;
- информирование Пользователя посредством отправки электронных писем;
- для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных.
3. Правовые основания обработки персональных данных
3.1. Основанием обработки Персональных Данных Оператором являются следующие нормативные акты и документы:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Устав ООО «ДиалогСофт Продажи», утвержден Решением единственного учредителя ООО «ДиалогСофт Продажи» №1 от 26.10.2017.
- Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории, обрабатываемых персональных данных, категории субъектов персональных данных
4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Оператором осуществляется обработка следующих категорий субъектов персональных данных.
Цель: Ведение кадрового и бухгалтерского учета:
- работники ООО «ДиалогСофт Продажи»;
- родственники работников ООО «ДиалогСофт Продажи»;
- уволенные работники ООО «ДиалогСофт Продажи»
- соискатели вакантных должностей в ООО «ДиалогСофт Продажи»;
Цель: Заключение, исполнение и прекращение гражданско-правовых договоров:
- контрагенты ООО «ДиалогСофт Продажи»;
- представители контрагентов ООО «ДиалогСофт Продажи»
Цель: Информирование Пользователя посредством отправки электронных писем:
- клиенты ООО «ДиалогСофт Продажи»;
- посетители сайта ООО «ДиалогСофт Продажи»;
- работники клиента ООО «ДиалогСофт Продажи»
Цель: Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных:
- контрагенты ООО «ДиалогСофт Продажи»;
- посетители сайта ООО «ДиалогСофт Продажи»;
- работники контрагентов ООО «ДиалогСофт Продажи».
4.2. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Оператором осуществляется обработка следующих перечней персональных данных:
Цель: Ведение кадрового и бухгалтерского учета:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.
Цель: Заключение, исполнение и прекращение гражданско-правовых договоров:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес электронной почты; номер телефона; ИНН; должность; данные документа, удостоверяющего личность; адрес регистрации.
Цель: Информирование Пользователя посредством отправки электронных писем:
фамилия, имя, отчество; адрес электронной почты; номер телефона.
Цель: Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных:
фамилия, имя, отчество; адрес электронной почты; номер телефона; ИНН; должность, структурное подразделение, место работы.
4.3. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика).
4.4. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5. Принципы и условия обработки персональных данных
5.1. При обработке персональных данных Оператором соблюдаются следующие принципы:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целях их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
- принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5.2. Оператором осуществляется смешанная обработка персональных данных. Совокупность операций обработки персональных данных у Оператора включает:
Цель: Ведение кадрового и бухгалтерского учета
Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; удаление; уничтожение.
Цель: Заключение, исполнение и прекращение гражданско-правовых договоров
Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; удаление; уничтожение.
Цель: Информирование Пользователя посредством отправки электронных писем
Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); передача (предоставление, доступ); использование; удаление; уничтожение.
Цель: Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных
Сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); передача (предоставление, доступ); использование; удаление; уничтожение.
5.3. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.4. Оператор не поручает обработку персональных другим лицам
5.5. Прекращение обработки персональных данных осуществляется при прекращении деятельности Оператора (ликвидация или реорганизация).
5.6. Трансграничная передача персональных данных Оператором не осуществляется.
5.7. Оператор обеспечивает конфиденциальность персональных данных. Работники Оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.8. Оператор допускает обработку общедоступных персональных данных.
5.9. Обработка персональных данных осуществляется Оператором с соблюдением следующих условий:
- обработка персональных данных необходима для достижения целей, предусмотренных законом Российской Федерации для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
5.10. Оператор вправе передавать персональные данные по основаниям, предусмотренным действующим законодательством Российской Федерации.
6. Реализация мер обеспечения безопасности персональных данных, принимаемых Оператором
6.1.Оператор принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам у Оператора относятся:
- назначение лица, ответственного за организацию обработки персональных данных;
- издание локальных актов по вопросам обработки персональных данных, определяющих категории и перечень обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявления нарушений законодательства Российской Федерации в области обработки и защиты персональных данных, устранение последствий таких нарушений;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, внутренним документам Оператора в области обработки и защиты персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление работников Оператора с положениями законодательства Российской Федерации о персональных данных, внутренними документами по вопросам обработки персональных данных, требованиями к защите персональных данных;
- применение или обеспечение применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона «О персональных данных», в частности:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора;
- реализация технических и организационных мер по защите персональных данных, обрабатываемых в информационных системах персональных данных Оператора, на основе требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требований приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» выработанных по результатам:
- определения категорий персональных данных, обрабатываемых в информационных системах персональных данных Оператора;
- определения необходимого уровня защищенности персональных данных на основе анализа актуальных угроз безопасности персональных данных и возможного ущерба субъектам персональных данных при реализации угроз безопасности персональных данных;
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях, не имеющих права доступа в эти помещения;
- обеспечение учета и сохранности машинных носителей персональных данных;
- организация доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;
- реализация антивирусного мониторинга и детектирования;
- применение межсетевых защитных (фильтрующих) экранов;
- своевременное установление обновлений используемого программного обеспечения информационных систем персональных данных и средств защиты информации;
- организация защиты технических средств информационных систем персональных данных.
6.2. Оператором в установленном порядке обеспечивается взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.