1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ (далее — Политика) определяет позицию ООО «РЕД Лаб» (далее — Компания) в отношении обработки персональных данных и излагает систему основных принципов в отношении обработки персональных данных.

1.2. Политика опубликована на сайте компании в сети Интернет по адресу https://www.getworkpoint.ru/privacy.

1.3. Цель настоящей Политики — обеспечение защиты прав и свобод субъекта при обработке его персональных данных.

1.4. Политика разработана в соответствии с законодательством Российской Федерации, в том числе Федеральным законом от 25.07.2006 № 152 «О персональных данных». В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 25.07.2006 № 152 «О персональных данных».

1.5. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.

1.6. Политика распространяется на всех сотрудников Компании (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Компании, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компании, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

1.7. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

1.8. Политика действует бессрочно после утверждения и до ее замены новой версией.

2 ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Компания осуществляет обработку персональных данных на основании:

2.1.1. Конституции РФ;

2.1.2. Гражданского кодекса РФ;

2.1.3. Трудового кодекса РФ;

2.1.4. Налогового кодекса РФ;

2.1.5. Федерального закона от 27.07.2006 № 152-ФЗ в пунктах 1, 2, 5 части 1 статьи 6;

2.1.6. Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

2.1.7. Федерального закона от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

2.1.8. Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;

2.1.9. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в РФ»;

2.1.10. Устав ООО «РЕД Лаб».

2.2. Персональные данные обрабатываются Компанией в целях:

2.2.1. Оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях организации и проведения Компанией, (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;

2.2.2. Исполнения Компанией обязательств в рамках поручений на обработку персональных данных;

2.2.3. Исполнения Компанией обязательств в рамках договоров по поставке продуктов, проведению мероприятий и оказанию любых иных услуг субъектам персональных данных;

2.2.4. Продвижения услуг и/или товаров Компании и/или партнеров Компании на рынке путем осуществления прямых контактов с клиентами Компании с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;

2.2.5. Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, обеспечения пропускного и внутриобъектового режимов на территории Компании;

2.2.6. Формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, её филиалов и представительств;

2.2.7. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

2.2.8. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей, или иных целей, если действия Компании не противоречат законодательству РФ.

2.3. Компания в процессе обработки осуществляет действия в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

2.4. Обработка персональных данных в Компании осуществляется следующими способами: неавтоматизированная обработка персональных данных, автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой, смешанная обработка персональных данных.

2.5. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.6. Компания в целях надлежащего исполнения своих обязанностей оператора обрабатывает персональные данные следующих категорий субъектов:

2.6.1. Соискатели на замещение вакантных должностей — в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных.

2.6.2. Работники, состоящие или состоявшие в трудовых отношениях с Компанией — в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных.

2.6.3. Родственники работников Компании — в составе и в сроки, необходимые для осуществления и выполнения, возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов Компании, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.

2.6.4. Представители поставщиков Компании — в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных.

2.6.5. Представители потенциальных и существующих клиентов — в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных.

2.6.6. Иные субъекты персональных данных, являющиеся стороной либо выгодоприобретателем, поручителем по договору заключённого с Компанией;

2.7. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; образование; профессия; доходы; паспортные данные; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.8. Компания осуществляет обработку биометрических данных сотрудников (фотографии).

2.9. Сроки обработки персональных данных определены с учетом:

2.9.1. Установленных целей обработки персональных данных;

2.9.2. Сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;

2.9.3. Законодательства РФ в области архивного дела.

2.9.4. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

2.9.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующих условий:

2.9.6. Достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

2.9.7. Утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

2.9.8. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;

2.9.9. Невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

2.9.10. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;

2.9.11. Отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;

2.9.12. Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

2.9.13. Ликвидация (реорганизация) Компании.

2.10. Компания, в определенных случая, осуществляет трансграничную передачу персональных данных в дата-центры исключительно тех страны которые присоединились к «Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера» и являющихся странами, обеспечивающих адекватную защиту прав субъектов персональных данных.

2.11. Компания передаёт персональные данные третьим лицам в рамках исполнения обязанностей, возложенных на Компанию законодательством РФ, либо с согласия субъекта персональных данных.

3 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Компания предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

3.1.1. Назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

3.1.2. Проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

3.1.3. Издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

3.1.4. Обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;

3.1.5. Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

3.1.6. Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

3.1.7. Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

3.1.8. Учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

3.1.9. Резервное копирование информации для возможности восстановления;

3.1.10. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4 ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных обязан предоставлять Компании достоверные персональные данные и документы, содержащие информацию персонального характера, в случаях и порядке, установленных Трудовым кодексом РФ, ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных», иными федеральными законами и настоящей Политикой.

4.2. При изменении персональных данных Субъект персональных данных должен письменно уведомить об этом Компанию в срок, не превышающий 14 дней. Компания имеет право запрашивать у Субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.

4.3. Субъект персональных данных обязан ознакомиться с текущей Политикой, а также с законодательством РФ в области обработки персональных данных.

4.3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

4.3.2. Подтверждение факта обработки персональных данных Компанией;

4.3.3. Правовые основания и цели обработки персональных данных;

4.3.4. Цели и применяемые Компанией способы обработки персональных данных;

4.3.5. Наименование и место нахождения Компании, сведения о лицах (за исключением сотрудников/работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального законодательства;

4.3.6. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

4.3.7. Сроки обработки персональных данных, в том числе сроки их хранения;

4.3.8. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

4.3.9. Информацию об осуществленной или предполагаемой трансграничной передаче данных;

4.3.10. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;

4.3.11. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.4. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.5. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.7. Субъект персональных данных имеет право отозвать свое согласие посредством составления соответствующего письменного документа (заявления), который может быть направлен в адрес Компании по почте заказным письмом с уведомлением о вручении либо передан лично под расписку представителю Компании.

5 ПРАВА И ОБЯЗАННОСТИ ПОРУЧИТЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. На основании части 3 статьи 6 Федерального закона «О персональных данных» Компания может выполнять обработку персональных данных по поручению иных операторов обработки персональных данных на основе поручения на обработку персональных данных.

5.2. Оператор, поручающий Компании обработку персональных данных, обязан:

5.2.1. Получить согласие на обработку персональных данных от субъектов персональных данных;

5.2.2. Проверять достоверность и актуальность персональных данных.

6 ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ

6.1. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

6.2. В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

6.3. Компания имеет право обрабатывать персональные данные без согласия субъекта в случаях, предусмотренных ст. 6 Федерального закона «О персональных данных» или иными актами законодательства РФ.

6.4. Компания вправе отказать субъекту персональных данных в выполнении запроса на получение информации, касающейся обработки его персональных данных, в случаях, установленных Федеральным законом «О персональных данных» или иными актами законодательства РФ.

6.5. Компания вправе собирать на своих сайтах следующую информацию: IP-адрес, тип браузера, тип устройства (ПК, мобильные), тип операционной системы, время и продолжительность визита, логическое разрешение экрана, информацию cookies и адреса запрашиваемых страниц.

6.6. Опубликованная на сайте компании Политика является действующей. Компания вправе в любое время вносить в нее изменения. В случае внесения изменений компания обязана уведомить пользователей путем размещения на Сайте новой редакции политики конфиденциальности.

6.7. Мы можем вносить изменения в Политику. Но при этом обязуемся своевременно обновлять её на сайте.

7 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Настоящая Политика регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные настоящей Политикой, подлежат разрешению в соответствии с законодательством Российской Федерации. Все возможные споры, вытекающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, установленном действующим законодательством Российской Федерации по нормам российского права. Везде по тексту настоящей Политики, если явно не указано иное, под термином «законодательство» понимается законодательство Российской Федерации.

7.2. В случае возникновения вопросов и претензий со стороны Пользователя он должен обратиться в адрес Компании любым доступным способом. Все возникающее споры стороны будут стараться решить путем переговоров. При недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством РФ.

7.3. Бездействие со стороны Компании в случае нарушения Пользователем Политики не лишает Компанию права предпринять соответствующие действия в защиту своих интересов позднее, а также не означает отказ Компании от своих прав в случае совершения в последующем подобных либо сходных нарушений.

7.4. Все споры, касающиеся Политики и ее положений, подлежат рассмотрению в суде по месту нахождения Компании в соответствии с действующим процессуальным правом Российской Федерации.

7.5. Признание судом недействительности какого-либо положения настоящей Политики не влечет за собой недействительность остальных положений.

7.6. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Компании.