Назначение и область применения
Настоящая Политика в отношении обработки персональных данных ООО «СберЛогистика» (далее – Политика) определяет:
- цели обработки персональных данных (далее – ПДн);
- классификацию и субъектов ПДн;
- общие принципы обработки ПДн;
- основных участников системы управления процессом обработки ПДн;
- основные подходы к системе управления процессом обработки ПДн.
Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации, определяющими случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о ПДн).
Политика разработана в целях реализации требований Законодательства о ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн.
Положения настоящей Политики являются основой для организации работы по обработке ПДн в ООО «СберЛогистика» (далее – Общество), в том числе, для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки ПДн. Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к ПДн.
Политика является общедоступной и подлежит размещению на официальном сайте Общества или иным образом обеспечивается неограниченный доступ к настоящему документу.
Доведение сотрудникам Общества положений настоящей Политики осуществляется с использованием системы электронного документооборота, применяемой в Обществе, либо иным способом.
Ответственные за реализацию Политики
Документы, использованные при разработке Политики
Настоящая Политика разработана в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о ПДн);
- Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Трудовой кодекс Российской Федерации;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
Термины и определения
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).
Закон о ПДн – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Законодательство о ПДн – законодательство Российской Федерации, определяющее случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации.
Информация – сведения (сообщения, данные) независимо от формы их представления.
ИСПДН (информационная система персональных данных) – информационная система Общества, содержащая ПДн.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
Общество – ООО «СберЛогистика».
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Политика – настоящий документ, Политика в отношении обработки персональных данных ООО «СберЛогистика».
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
1. Цели обработки персональных данныхОбщество осуществляет обработку ПДн в целях:
· Оформление приема на работу и регулирование трудовых и непосредственно связанных с ними отношений с Работником посредством электронного кадрового документооборота;
· Обеспечение безопасности Компании, включая предотвращение и урегулирование конфликта интересов, а также обеспечение пропускного и внутриобъектового режима на объектах;
· Организация командировок и иных перемещений / поездок Работника, включая визовую и миграционную поддержку, содействие при перелетах и переездах, в том числе за рубеж или в пределах одной страны;
· Оценка эффективности и результатов работы Работника, управление карьерным ростом Работника ростом через систему оценивания и поощрения персонала;
· Включение в кадровый резерв;
· Предоставление льготных условий по ипотеке;
· Обработка персональных данных ребенка;
· Информирование о корпоративных бонусах и специальных предложениях;
· Прохождение обучения;
· Предоставление доступа к автоматизированным системам;
· Оказание материальной помощи;
· Управление аккаунтом (в т.ч. авторизация, внесение и корректировка данных);
· Подбор персонала (соискателей) на вакантные должности оператора;
· IT -сопровождения инфраструктуры, предоставления доступа к АС;
· Отправка посылок;
· Транспортная и складская логистика;
· Обработка обращений;
· Подготовка, заключение и исполнение гражданско-правового договора;
· Реализация реферальной программы оператора.
2. Понятие и состав персональных данных
К ПДн относится любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту ПДн, обрабатываемая Обществом для достижения целей, определенных в разделе 4 настоящей Политики.
Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
Общество не осуществляет трансграничную передачу ПДн.
Общество не осуществляет обработку биометрических ПДн.
Общество не осуществляет прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке.
Обработка ПДн субъекта в Обществе осуществляется с согласия субъекта на обработку его ПДн, если иное не предусмотрено Законодательством о ПДн.
Общество осуществляет обработку ПДн следующих категорий субъектов:
- клиенты Общества;
- работники, близкие родственники работников;
- кандидаты на трудоустройство;
- контрагенты и (или) представители контрагентов;
- физические лица, не относящиеся к клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом административно-хозяйственной деятельности при условии, что их ПДн включены в автоматизированные системы Обществе и обрабатываются в соответствии с Законодательством о ПДн;
- иные физические лица, выразившие согласие на обработку Обществом их ПДн или физические лица, обработка ПДн, которых необходима Обществе для достижения целей, предусмотренных разделом 1 настоящей Политики.
3. Общие принципы обработки персональных данныхОбщество является оператором ПДн, осуществляет обработку ПДн с учетом необходимости обеспечения защиты неприкосновенность частной жизни, личной и семейной тайны, на основе следующих принципов:
- законности заранее определенных конкретных целей и способов обработки ПДн;
- прекращение обработки ПДн субъектов при достижении целей;
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- недопустимости обработки ПДн субъектов несовместимых с целями обработки;
- соответствия содержания, состава и способов обработки ПДн целям обработки;
- достоверности ПДн, их достаточности, и актуальности для целей обработки;
- недопустимости избыточности при обработке ПДн;
- хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем, по которым являются субъекты ПДн;
- обеспечения надлежащей защиты и конфиденциальности при обработке ПДн.
4. Условия обработки персональных данных
Обработка ПДн в Обществе осуществляется исключительно при наличии правового основания.
Общество не раскрывает третьим лицам и не распространяет ПДн без надлежащего правового основания
Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора.
В договоре должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о ПДн, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о ПДн, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о ПДн.
В целях внутреннего информационного обеспечения Общество может создавать внутренние справочники, адресные книги и другие источники, в которые с письменного согласия субъекта ПДн могут включаться его ПДн, если иное не предусмотрено законодательством Российской Федерации.
Доступ к обрабатываемым ПДн предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности и конфиденциальности (под конфиденциальностью понимается обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено законодательством Российской Федерации).
Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием субъекта на обработку его ПДн.
Общество осуществляет передачу ПДн государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
Обеспечение безопасности обрабатываемых ПДн осуществляется Обществом в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о ПДн, принятых в соответствии с ним нормативных правовых актов.
Общество, а также его работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн субъекта, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.
5. Действия с персональными данными и способы их обработки
Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение ПДн.
Для каждой указанной в Приложении 1 к настоящей Политике цели обработки ПДн предусмотрены следующие способы обработки ПДн: автоматизированная обработка ПДн (с использованием средств вычислительной техники) и неавтоматизированная обработка ПДн (без использования средств вычислительной техники) с фиксацией ПДн. Обработка ПДн автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений локальных правовых актов Общества, регламентирующих вопросы обработки и защиты ПДн.
6. Сроки обработки персональных данных
Сроки обработки и хранения ПДн для каждой указанной в Приложении 1 к настоящей Политике цели обработки ПДн устанавливаются с учетом соблюдения требований, в том числе условий обработки ПДн, определенных Законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект ПДн, и/или согласия субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено Законодательством РФ.
Сроки обработки в Обществе ПДн субъектов определяются Общества с учетом:
- установленных целей обработки ПДн;
- сроков действия договоров, стороной в которых либо выгодоприобретателем, по которым выступает субъект ПДн, и договоров, заключенных по инициативе субъекта ПДн;
- сроков исковой давности;
- сроков бухгалтерской и налоговой отчётности;
- иных нормативных документов Российской Федерации.
Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием субъекта ПДн на обработку его ПДн (см. раздел 7 Политики).
7. Порядок уничтожения персональных данных
Уничтожение ПДн, обработка которых осуществляется в рамках целей, указанных в Приложении 1 к настоящей Политике, производится в следующих случаях:
• при достижении цели (целей) обработки ПДн или в случае утраты необходимости в достижении цели (целей) обработки ПДн, если иное не установлено и/или иными применимыми нормативными правовыми актами РФ;
• при выявлении факта неправомерной обработки ПДн;
• при отзыве Субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено;
• при предъявлении Субъектом ПДн требования о прекращении обработки ПДн, если иное не установлено.
Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.
8. Обеспечение безопасности и конфиденциальности персональных данных
Общество предпринимает установленные законодательством Российской Федерации необходимые правовые, технические и организационные меры по обеспечению безопасности обрабатываемых ПДн субъектов для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн субъектов, а именно:
- назначение ответственного за организацию обработки ПДн;
- издание документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- осуществление внутреннего контроля соответствия обработки ПДн действующему законодательству, политике в отношении обработки ПДн и локальным актам;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
- ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
- опубликование документа, определяющего политику в отношении обработки ПДн.
Обеспечение безопасности ПДн в Обществе достигается в соответствии с законодательством Российской Федерации и локальными правовыми актами Общества по вопросам обработки и защиты ПДн. в частности:
- определением угроз безопасности ПДн субъектов ПДн при их обработке в информационных системах ПДн Общества;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДН Общества, необходимых для выполнения требований к защите ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием соответствующих мер безопасности;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа (в том числе ограничением доступа) к ПДн, обрабатываемым в ИСПДН Общества, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДН Общества;
- назначением приказами в Обществе ответственных работников за организацию обработки и защиту ПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДН Общества.
9. Использование web-ресурсов
Общество использует файлы cookies, в том числе обрабатывает сведения о посетителях web-ресурсов, необходимые для правильной работы web-ресурсов Общества, а также в целях улучшения качества работы и удобства использования web-ресурсов Общества. Общество использует систему аналитики Яндекс Метрика.
Для использования специальных возможностей web-ресурсов Общества необходимо предоставить пользовательские данные, включая ПДн.
Проставляя галочку (чек-бокс) или нажимая кнопку в электронной форме подтверждения, предоставляемой web-ресурсом Общества, субъект персональных данных выражает свое согласие на обработку своих персональных данных Обществу на условиях, предусмотренных настоящей Политикой.
Субъект ПДн не использует web-ресурсы Общества и не предоставляет Обществу свои ПДн, если он не согласен с положениями данного раздела настоящей Политики.
Общество осуществляет обработку ПДн с использованием web-ресурсов на условиях, определенных в Приложении 1 к настоящей Политике.
10. Права и обязанности общества и субъектов персональных данных
Общество как оператор ПДн вправе:
- отстаивать свои интересы в суде;
- предоставлять ПДн третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
- использовать ПДн субъектов без их согласия в случаях, предусмотренных законодательством Российской Федерации.
Общество как оператор ПДн обязан:
- предоставлять субъекту по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о ПДн;
- разъяснить субъекту юридические последствия его отказа в предоставлении Обществу его ПДн при условии, что такое предоставление субъектом его ПДн Обществу является обязательным в соответствии с федеральным законом;
- в случае получения ПДн не от субъекта, за исключением случаев, предусмотренных частью 4 статьи 18 Закона о ПДн, до начала обработки таких ПДн предоставить субъекту следующую информацию:
1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные настоящей Политикой права субъекта;
5) источник получения ПДн.
- при сборе ПДн, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о ПДн.
Общество предпринимает разумные меры для поддержания точности и актуальности имеющихся ПДн, а также удаления ПДн в случаях, если они являются устаревшими, недостоверными или излишними либо если достигнуты цели их обработки
Субъект ПДн имеет право:
- на отзыв согласия на обработку ПДн;
- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих ПДн, обрабатываемых Обществом, и источник их получения;
- получать информацию о сроках обработки своих ПДн, в том числе о сроках их хранения;
- обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие при обработке его ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъекты ПДн несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
11. Обработка обращений и обратная связь
В случаях, если субъект ПДн хочет обратиться к Обществу в рамках реализации своих прав, либо имеет другие законные требования, он может в установленном порядке и в соответствии с законодательством Российской Федерации реализовать такое право, при этом в некоторых случаях (например, если субъект хочет удалить свои ПДн или прекратить их обработку) такое обращение (запрос) также может означать, что Общество больше не сможет предоставлять услуги субъекту.
Для выполнения запросов субъектов, Общество может потребовать установить личность такого субъекта и запросить дополнительную информацию, подтверждающую его участие в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки ПДн Обществом.
Право субъекта на доступ к его ПДн может быть ограничено в соответствии с законодательством Российской Федерации, в том числе если доступ субъекта к его ПДн нарушает права и законные интересы третьих лиц.
Порядок направления запросов Субъектом определен требованиями Закона о ПДн.
В случае направления запроса представителем Субъектом, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
Запрос может быть направлен субъектом в электронном виде. Такие запросы должны быть подписаны усиленной квалифицированной электронной подписью субъекта.
Контакты Общества для направления запросов субъектов:
почтовый адрес: Российская Федерация, город Москва, город Щербинка, улица Кутузова, дом
электронный адрес: pdn@sblogistica.ru
12. Заключительные положения
Общество имеет право вносить изменения в настоящую Политику. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.
Информация о документе
Настоящая Политика в отношении обработки персональных данных ООО «СберЛогистика» (далее – Политика) определяет:
- цели обработки персональных данных (далее – ПДн);
- классификацию и субъектов ПДн;
- общие принципы обработки ПДн;
- основных участников системы управления процессом обработки ПДн;
- основные подходы к системе управления процессом обработки ПДн.
Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации, определяющими случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о ПДн).
Политика разработана в целях реализации требований Законодательства о ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн.
Положения настоящей Политики являются основой для организации работы по обработке ПДн в ООО «СберЛогистика» (далее – Общество), в том числе, для разработки локальных нормативных актов, регламентирующих в Обществе вопросы обработки ПДн. Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к ПДн.
Политика является общедоступной и подлежит размещению на официальном сайте Общества или иным образом обеспечивается неограниченный доступ к настоящему документу.
Доведение сотрудникам Общества положений настоящей Политики осуществляется с использованием системы электронного документооборота, применяемой в Обществе, либо иным способом.
Название должности | Название подразделения |
Руководитель отдела | Отдел по обработке персональных данных Юридического департамента Финансовой дирекции |
Ответственные за реализацию Политики
Название должности | Название подразделения | Функция |
Руководитель отдела | Отдел по обработке персональных данных | Разработка, реализация, корректировка Политики |
Документы, использованные при разработке Политики
Настоящая Политика разработана в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о ПДн);
- Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Трудовой кодекс Российской Федерации;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
Термины и определения
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).
Закон о ПДн – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Законодательство о ПДн – законодательство Российской Федерации, определяющее случаи и особенности обработки ПДн и обеспечения безопасности и конфиденциальности такой информации.
Информация – сведения (сообщения, данные) независимо от формы их представления.
ИСПДН (информационная система персональных данных) – информационная система Общества, содержащая ПДн.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
Общество – ООО «СберЛогистика».
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Политика – настоящий документ, Политика в отношении обработки персональных данных ООО «СберЛогистика».
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
1. Цели обработки персональных данныхОбщество осуществляет обработку ПДн в целях:
· Оформление приема на работу и регулирование трудовых и непосредственно связанных с ними отношений с Работником посредством электронного кадрового документооборота;
· Обеспечение безопасности Компании, включая предотвращение и урегулирование конфликта интересов, а также обеспечение пропускного и внутриобъектового режима на объектах;
· Организация командировок и иных перемещений / поездок Работника, включая визовую и миграционную поддержку, содействие при перелетах и переездах, в том числе за рубеж или в пределах одной страны;
· Оценка эффективности и результатов работы Работника, управление карьерным ростом Работника ростом через систему оценивания и поощрения персонала;
· Включение в кадровый резерв;
· Предоставление льготных условий по ипотеке;
· Обработка персональных данных ребенка;
· Информирование о корпоративных бонусах и специальных предложениях;
· Прохождение обучения;
· Предоставление доступа к автоматизированным системам;
· Оказание материальной помощи;
· Управление аккаунтом (в т.ч. авторизация, внесение и корректировка данных);
· Подбор персонала (соискателей) на вакантные должности оператора;
· IT -сопровождения инфраструктуры, предоставления доступа к АС;
· Отправка посылок;
· Транспортная и складская логистика;
· Обработка обращений;
· Подготовка, заключение и исполнение гражданско-правового договора;
· Реализация реферальной программы оператора.
2. Понятие и состав персональных данных
К ПДн относится любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту ПДн, обрабатываемая Обществом для достижения целей, определенных в разделе 4 настоящей Политики.
Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
Общество не осуществляет трансграничную передачу ПДн.
Общество не осуществляет обработку биометрических ПДн.
Общество не осуществляет прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке.
Обработка ПДн субъекта в Обществе осуществляется с согласия субъекта на обработку его ПДн, если иное не предусмотрено Законодательством о ПДн.
Общество осуществляет обработку ПДн следующих категорий субъектов:
- клиенты Общества;
- работники, близкие родственники работников;
- кандидаты на трудоустройство;
- контрагенты и (или) представители контрагентов;
- физические лица, не относящиеся к клиентам Общества, заключившие или намеревающиеся заключить с Обществом договорные отношения в связи с осуществлением Обществом административно-хозяйственной деятельности при условии, что их ПДн включены в автоматизированные системы Обществе и обрабатываются в соответствии с Законодательством о ПДн;
- иные физические лица, выразившие согласие на обработку Обществом их ПДн или физические лица, обработка ПДн, которых необходима Обществе для достижения целей, предусмотренных разделом 1 настоящей Политики.
3. Общие принципы обработки персональных данныхОбщество является оператором ПДн, осуществляет обработку ПДн с учетом необходимости обеспечения защиты неприкосновенность частной жизни, личной и семейной тайны, на основе следующих принципов:
- законности заранее определенных конкретных целей и способов обработки ПДн;
- прекращение обработки ПДн субъектов при достижении целей;
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- недопустимости обработки ПДн субъектов несовместимых с целями обработки;
- соответствия содержания, состава и способов обработки ПДн целям обработки;
- достоверности ПДн, их достаточности, и актуальности для целей обработки;
- недопустимости избыточности при обработке ПДн;
- хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем, по которым являются субъекты ПДн;
- обеспечения надлежащей защиты и конфиденциальности при обработке ПДн.
4. Условия обработки персональных данных
Обработка ПДн в Обществе осуществляется исключительно при наличии правового основания.
Общество не раскрывает третьим лицам и не распространяет ПДн без надлежащего правового основания
Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора.
В договоре должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о ПДн, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о ПДн, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о ПДн.
В целях внутреннего информационного обеспечения Общество может создавать внутренние справочники, адресные книги и другие источники, в которые с письменного согласия субъекта ПДн могут включаться его ПДн, если иное не предусмотрено законодательством Российской Федерации.
Доступ к обрабатываемым ПДн предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности и конфиденциальности (под конфиденциальностью понимается обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено законодательством Российской Федерации).
Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием субъекта на обработку его ПДн.
Общество осуществляет передачу ПДн государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
Обеспечение безопасности обрабатываемых ПДн осуществляется Обществом в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о ПДн, принятых в соответствии с ним нормативных правовых актов.
Общество, а также его работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки ПДн субъекта, а также за разглашение или незаконное использование ПДн в соответствии с законодательством Российской Федерации.
5. Действия с персональными данными и способы их обработки
Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление и уничтожение ПДн.
Для каждой указанной в Приложении 1 к настоящей Политике цели обработки ПДн предусмотрены следующие способы обработки ПДн: автоматизированная обработка ПДн (с использованием средств вычислительной техники) и неавтоматизированная обработка ПДн (без использования средств вычислительной техники) с фиксацией ПДн. Обработка ПДн автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений локальных правовых актов Общества, регламентирующих вопросы обработки и защиты ПДн.
6. Сроки обработки персональных данных
Сроки обработки и хранения ПДн для каждой указанной в Приложении 1 к настоящей Политике цели обработки ПДн устанавливаются с учетом соблюдения требований, в том числе условий обработки ПДн, определенных Законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект ПДн, и/или согласия субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено Законодательством РФ.
Сроки обработки в Обществе ПДн субъектов определяются Общества с учетом:
- установленных целей обработки ПДн;
- сроков действия договоров, стороной в которых либо выгодоприобретателем, по которым выступает субъект ПДн, и договоров, заключенных по инициативе субъекта ПДн;
- сроков исковой давности;
- сроков бухгалтерской и налоговой отчётности;
- иных нормативных документов Российской Федерации.
Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием субъекта ПДн на обработку его ПДн (см. раздел 7 Политики).
7. Порядок уничтожения персональных данных
Уничтожение ПДн, обработка которых осуществляется в рамках целей, указанных в Приложении 1 к настоящей Политике, производится в следующих случаях:
• при достижении цели (целей) обработки ПДн или в случае утраты необходимости в достижении цели (целей) обработки ПДн, если иное не установлено и/или иными применимыми нормативными правовыми актами РФ;
• при выявлении факта неправомерной обработки ПДн;
• при отзыве Субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено;
• при предъявлении Субъектом ПДн требования о прекращении обработки ПДн, если иное не установлено.
Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.
8. Обеспечение безопасности и конфиденциальности персональных данных
Общество предпринимает установленные законодательством Российской Федерации необходимые правовые, технические и организационные меры по обеспечению безопасности обрабатываемых ПДн субъектов для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн субъектов, а именно:
- назначение ответственного за организацию обработки ПДн;
- издание документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- осуществление внутреннего контроля соответствия обработки ПДн действующему законодательству, политике в отношении обработки ПДн и локальным актам;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
- ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.
- опубликование документа, определяющего политику в отношении обработки ПДн.
Обеспечение безопасности ПДн в Обществе достигается в соответствии с законодательством Российской Федерации и локальными правовыми актами Общества по вопросам обработки и защиты ПДн. в частности:
- определением угроз безопасности ПДн субъектов ПДн при их обработке в информационных системах ПДн Общества;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДН Общества, необходимых для выполнения требований к защите ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием соответствующих мер безопасности;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа (в том числе ограничением доступа) к ПДн, обрабатываемым в ИСПДН Общества, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДН Общества;
- назначением приказами в Обществе ответственных работников за организацию обработки и защиту ПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДН Общества.
9. Использование web-ресурсов
Общество использует файлы cookies, в том числе обрабатывает сведения о посетителях web-ресурсов, необходимые для правильной работы web-ресурсов Общества, а также в целях улучшения качества работы и удобства использования web-ресурсов Общества. Общество использует систему аналитики Яндекс Метрика.
Для использования специальных возможностей web-ресурсов Общества необходимо предоставить пользовательские данные, включая ПДн.
Проставляя галочку (чек-бокс) или нажимая кнопку в электронной форме подтверждения, предоставляемой web-ресурсом Общества, субъект персональных данных выражает свое согласие на обработку своих персональных данных Обществу на условиях, предусмотренных настоящей Политикой.
Субъект ПДн не использует web-ресурсы Общества и не предоставляет Обществу свои ПДн, если он не согласен с положениями данного раздела настоящей Политики.
Общество осуществляет обработку ПДн с использованием web-ресурсов на условиях, определенных в Приложении 1 к настоящей Политике.
10. Права и обязанности общества и субъектов персональных данных
Общество как оператор ПДн вправе:
- отстаивать свои интересы в суде;
- предоставлять ПДн третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
- использовать ПДн субъектов без их согласия в случаях, предусмотренных законодательством Российской Федерации.
Общество как оператор ПДн обязан:
- предоставлять субъекту по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о ПДн;
- разъяснить субъекту юридические последствия его отказа в предоставлении Обществу его ПДн при условии, что такое предоставление субъектом его ПДн Обществу является обязательным в соответствии с федеральным законом;
- в случае получения ПДн не от субъекта, за исключением случаев, предусмотренных частью 4 статьи 18 Закона о ПДн, до начала обработки таких ПДн предоставить субъекту следующую информацию:
1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные настоящей Политикой права субъекта;
5) источник получения ПДн.
- при сборе ПДн, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о ПДн.
Общество предпринимает разумные меры для поддержания точности и актуальности имеющихся ПДн, а также удаления ПДн в случаях, если они являются устаревшими, недостоверными или излишними либо если достигнуты цели их обработки
Субъект ПДн имеет право:
- на отзыв согласия на обработку ПДн;
- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих ПДн, обрабатываемых Обществом, и источник их получения;
- получать информацию о сроках обработки своих ПДн, в том числе о сроках их хранения;
- обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие при обработке его ПДн;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъекты ПДн несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
11. Обработка обращений и обратная связь
В случаях, если субъект ПДн хочет обратиться к Обществу в рамках реализации своих прав, либо имеет другие законные требования, он может в установленном порядке и в соответствии с законодательством Российской Федерации реализовать такое право, при этом в некоторых случаях (например, если субъект хочет удалить свои ПДн или прекратить их обработку) такое обращение (запрос) также может означать, что Общество больше не сможет предоставлять услуги субъекту.
Для выполнения запросов субъектов, Общество может потребовать установить личность такого субъекта и запросить дополнительную информацию, подтверждающую его участие в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки ПДн Обществом.
Право субъекта на доступ к его ПДн может быть ограничено в соответствии с законодательством Российской Федерации, в том числе если доступ субъекта к его ПДн нарушает права и законные интересы третьих лиц.
Порядок направления запросов Субъектом определен требованиями Закона о ПДн.
В случае направления запроса представителем Субъектом, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
Запрос может быть направлен субъектом в электронном виде. Такие запросы должны быть подписаны усиленной квалифицированной электронной подписью субъекта.
Контакты Общества для направления запросов субъектов:
почтовый адрес: Российская Федерация, город Москва, город Щербинка, улица Кутузова, дом
электронный адрес: pdn@sblogistica.ru
12. Заключительные положения
Общество имеет право вносить изменения в настоящую Политику. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.
Информация о документе
Версия | Дата | Статус | Подготовил | Перечень изменений |
8 | 01/12/2025 | Корректировка | Корыстова Евгения Михайловна, Менеджер по защите персональных данных | 1) Отражено изменение адреса; 2) Добавлена цель обработки ПДн № 18: реализация реферальной программы оператора |
