1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее – Политика) разработана в соответствии со ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), определяет принципы и основные положения в отношении обработки персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных ООО «МИПО» и ООО «МИМИПО» (далее – Оператор).
1.2. Политика разработана в целях реализации требований законодательства Российской Федерации (далее – законодательство РФ) в области персональных данных и направлена на обеспечение защиты прав и свобод физических лиц, персональные данные которых обрабатывает Оператор (далее – Субъект персональных данных).
1.3. Настоящая Политика применима ко всем случаям обработки персональных данных Оператором.
1.4. В целях реализации Политики Оператором разрабатываются соответствующие локальные нормативные акты, регламентирующие порядок обработки персональных данных.
1.5. Для целей настоящей Политики используются понятия, предусмотренные ФЗ «О персональных данных», в том числе:
1.5.1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);
1.5.2. оператор персональных данных (Оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.5.3. обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (предоставление); обезличивание; блокирование; удаление; уничтожение;
1.5.4. обработка персональных данных по поручению – обработка персональных данных на основании договоров, предусматривающих поручение обработки персональных данных в соответствии с ч. 3 ст. 6 ФЗ «О персональных данных».
1.6. Основные права Субъектаперсональных данных:
1.6.1. получать информацию, касающуюся обработки его персональных данных;
1.6.2. уточнять, блокировать или уничтожать персональные данные в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.6.3. отзывать согласие на обработку персональных данных;
1.6.4. защищать свои права и законные интересы, принимать предусмотренные законодательством РФ меры;
1.6.5. обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (далее – Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных) или в суд.
1.7. Основные обязанности Оператора персональных данных:
1.7.1. соблюдать законность целейи способов обработки персональных данных;
1.7.2. ограничивать обработку персональных данных достижением определенных целей;
1.7.3. обрабатывать только персональные данные, которые отвечаютцелям обработки;
1.7.4. не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
1.7.5. хранить персональные данные в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
1.7.6. обеспечить точность персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
1.7.7. прекратить обработку персональных данных, блокировать, уничтожить персональные данные/обеспечить прекращение обработки персональных данных, блокирование, уничтожение персональных данных (если обработка осуществляется другим лицом по поручению Оператора) в случаях, установленных законодательством РФ;
1.7.8. обеспечиватьконфиденциальность персональных данных;
1.7.9. принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
1.7.10. по запросу Субъекта персональных данных сообщить о наличии персональных данных,
предоставить возможность ознакомления с обрабатываемыми персональными данными, а также предоставлять информацию, касающуюся обработки персональных данных Субъекта;
1.7.11. уведомлять Управление Федеральной службы по надзорув сфере связи,
информационных технологий и массовых коммуникаций об обработке персональных данных (в том числе о намерении осуществлять обработку персональных данных), направлять информационные письма о внесении изменений в реестр Операторов при необходимости; уведомлять Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных;
1.7.12. предоставлятьв Управление Федеральной службы по надзорув сфере связи,
информационных технологий и массовых коммуникаций необходимую информацию по запросам этого органа;
1.7.13. взаимодействовать в порядке, определенном федеральным органом исполнительной
власти, уполномоченным в области обеспечения безопасности, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Оператор вправе осуществлять обработку персональных данных без уведомления Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных в случае, если Оператор осуществляетдеятельность по обработке персональных данных исключительно без использования средств автоматизации.
1.8. Основные принципы обработкиперсональных данных:
1.8.1. соблюдение законности целей и способовобработки персональных данных;
1.8.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;
1.8.3. обработке подлежат только персональные данные,которые отвечают целям обработки;
1.8.4. содержание и объем обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
1.8.5. не допускается обработкаперсональных данных, несовместимая с целями обработки;
1.8.6. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
1.8.7. хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
1.8.8. обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
1.8.9. уничтожение персональных данных по истечении срока хранения;

2. Правовые основы обработкиперсональных данных

2.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Правовыми основаниями для обработки являются:
2.1.1. Конституция Российской Федерации;
2.1.2. Трудовой кодекс Российской Федерации;
2.1.3. Гражданский кодекс Российской Федерации;
2.1.4. Налоговый кодекс Российской Федерации;
2.1.5. Федеральный Закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
2.1.6. Федеральный закон  от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
2.1.6. Федеральный закон от 29.11.2007 № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации»;
2.1.7. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
2.1.8. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
2.1.9. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
2.1.10. Постановление Госкомстата РФ от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
2.1.11. Устав Оператора;
2.1.12. Локальные нормативные акты Оператора;
2.1.13. Трудовые договоры;
2.1.14. Договоры, заключаемые в процессе хозяйственной деятельности Оператора;
2.1.15. Договоры, предусматривающие поручениеобработки персональных данных Оператору;
2.1.16. Согласия на обработку персональных данных, в том числе Согласие на обработку персональных данных, полученное Оператором с использованием метрических программ Яндекс.Метрика, top.mail.ru, LiveInternet, а также иных аналогичных сервисов сбора статистики посещаемости сайта, предоставляемое субъектом персональных данных путем совершения конклюдентных действий при входе на сайт Оператора в информационно-телекоммуникационной сети «Интернет» (далее – Сайт). Такими действиями являются: продолжение работы с Сайтом, прокрутка страницы, нажатие на любую интерактивную кнопку, закрытие баннера с уведомлением об обработке персональных данных, а также иные действия, свидетельствующие о воле субъекта персональных данных на предоставление доступа к информации о его устройстве, браузере, IP-адресе, действиях на Сайте и иных данных, собираемых метрическими программами.

3. Субъекты персональных данных, состав обрабатываемых персональных данных

3.1. Оператор осуществляет обработкуперсональных данных следующихкатегорий Субъектов персональных данных:
·  Работники Оператора:
физические лица, являющиеся работниками Оператора;
физические лица, ранее состоявшие в трудовых отношениях с Оператором;
физические лица, являющиеся членамисемьи работников Оператора;
·  Соискатели Оператора:
физические лица, являющиеся кандидатами на вакантные должности Оператора;
·  Контрагенты, их представители:
физические лица,состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
физические лица, являющиеся руководителями, представителями и работниками контрагентов Оператора;
физические лица, выразившие согласиена обработку персональных данных;
· Клиенты Оператора:
Физические лица, которые воспользовались услугами Оператора или услугами третьих лиц при посредничестве Оператора.
3.2. Состав обрабатываемых персональных данных по каждой категории Субъектов персональных данных в зависимости от цели обработки определен в перечне обрабатываемых персональных данных, утвержденном Оператором.

4. Цели обработкиперсональных данных

4.1. Обработка персональных данныхосуществляется в целях:
4.1.1. ведения кадрового, бухгалтерского и налогового учета;
4.1.2. открытия счета и выпуска банковской карты для перечисления заработной платы и иных выплат работникам;
4.1.3. направления работников в командировку;
4.1.4. обеспечения работников услугамисвязи (корпоративная мобильнаясвязь);
4.1.5. проведения специальной оценкиусловий труда;
4.1.6. поиска работников и принятия решенияо приеме на работу;
4.1.7. заключения и исполнения договоров;
4.1.8. выполнения функций и обязанностей, возложенных законодательством РФ (передача информации о Субъектах персональных данных уполномоченным государственным органам в случаях и в объеме, установленных законодательством РФ);
4.1.9. реализации прав и законных интересовОператора в рамках осуществления деятельности
(представление интересов Оператора в организациях, в уполномоченных государственных органах, в том числе, судах);
4.1.10. обеспеченияорганизационно-информационной внутренней деятельности Оператора;
4.1.11. информирования о товарах, работах и услугах Оператора, а также их продвижения (распространение рекламы), в том числе путем осуществления прямых контактов с потенциальным потребителем, с помощью средств связи;
4.1.12. использованиясервисов (услуг) Операторана его сайте в сети Интернет с целью заказа обратного звонка,записи на получение услуги.
4.2. Цели обработки персональных данных определены, исходя из осуществляемой деятельности и конкретных бизнес-процессов Оператора.
4.3. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается.

5. Организация обработкиперсональных данных

5.1. Обработка персональных данных Оператором осуществляется с согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ, когда такое согласие не требуется.
5.2. Оператор обрабатывает персональные данные как с использованием средств автоматизации (с помощью средств вычислительной техники), так и без использования таких средств.
5.3. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных персональных данных.
5.4. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
5.5. Доступ к обрабатываемым персональным данным предоставляется только работникам Оператора, допущенным к обработке персональных данных в соответствии с локальными нормативными актами Оператора, исключительно для выполнения трудовых (должностных) обязанностей.
5.6. Оператор обеспечивает конфиденциальность обрабатываемых персональных данных. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.
5.7. Оператор вправе поручить Обработку персональных данных третьим лицам, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение принципов и правил обработки персональных данных, предусмотренных ФЗ «О персональных данных». Оператор несет ответственность перед Субъектом персональных данных за действия лиц, которым Оператор поручает обработку персональных данных.
5.8. Передача персональных данных третьим лицам осуществляется исключительно для достижения целей обработки, а также в случаях, предусмотренных законодательством РФ. Передача персональных данных уполномоченным государственным органам осуществляется по основаниям, предусмотренным законодательством РФ.
5.9. Оператор не осуществляет трансграничную передачу персональных данных.
5.10. В случае отзываСубъектом персональных данныхсогласия на их обработку она может быть продолжена при наличии оснований, предусмотренных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
5.11. При входе на Сайт Оператора, а также при первом посещении страницы Сайта, на котором используются метрические программы Яндекс.Метрика, top.mail.ru, LiveInternet, Оператор обеспечивает информирование субъекта персональных данных (пользователя) об обработке его персональных данных с использованием указанных программ. Информирование осуществляется посредством отображения баннера (всплывающего уведомления), содержащего следующую информацию: факт обработки персональных данных с помощью метрических программ; перечень собираемых данных (включая, но не ограничиваясь: IP-адрес, тип и версия браузера, тип устройства, разрешение экрана, источник перехода на Сайт, действия на Сайте (просмотры, клики, время на странице), файлы cookie); цель обработки (анализ посещаемости, улучшение работы Сайта, сбор статистики, обеспечение безопасности); правовое основание обработки (согласие либо законный интерес); способ получения согласия (конклюдентные действия); возможность отказа от обработки (в том числе через настройки браузера, блокировку файлов cookie, а также ссылка на инструменты отключения конкретных метрических программ, например, официальные расширения для блокировки Яндекс.Метрики, LiveInternet и top.mail.ru); ссылку на настоящую Политику и на политики конфиденциальности соответствующих метрических программ (Яндекс, Mail.ru и др.). Баннер с указанной информацией должен отображаться до момента совершения субъектом персональных данных конклюдентного действия, подтверждающего согласие на обработку. В случае отсутствия такого действия обработка персональных данных с использованием метрических программ не начинается либо прекращается.

6. Сроки обработки и хранения персональных данных

6.1. Обработка персональных данных (в том числе их хранение) осуществляется в течение сроков, необходимых для достижения целей обработки, сроков, предусмотренных договором или согласием Субъекта персональных данных на обработку его персональных данных, а также законодательством РФ.
6.2. Базы данных, содержащие персональные данные, обрабатываемые Оператором, находятся на территории РФ.

7. Обеспечение безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, в соответствии с законодательством РФ в области персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
7.2. Основными мерами защиты персональных данных,реализуемыми Оператором, являются:
7.2.1. назначение ответственного за организацию обработки персональных данных;
7.2.2. обеспечение неограниченного доступак Политике;
7.2.3. утверждение локальных нормативных актов, регламентирующие порядокобработки персональных данных;
7.2.4. ознакомление работников с положениями законодательства РФ о персональных данных, а также локальными нормативными актами;
7.2.5. осуществление допуска работников к персональным данным только для выполнения трудовых (должностных) обязанностей;
7.2.6. установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий с ними;
7.2.7. оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
7.2.8. определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
7.2.9. применение организационных и технических мер и использование средств защиты информации, необходимых для обеспечения установленного уровня защищенности персональных данных;
7.2.10. обнаружениемфактов несанкционированного доступак персональным данными
принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7.2.11. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
7.2.12. осуществление систематического внутреннего контроля соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных и локальным нормативным актам Оператора, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня их защищенности при обработке в информационной системе Оператора;
7.2.13. информирование Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав Субъектов персональных данных;
7.2.14. обеспечение в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
7.2.15. применение иных мер, предусмотренных законодательством РФ в областиперсональных данных.
7.3. Конкретные меры по обеспечению безопасности персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими порядок обработки персональных данных.

8. Рассмотрение запросовСубъектов персональных данных

8.1. Для реализации своих прав и законных интересов Субъекты персональных данных имеют право обратиться к Оператору с запросом/обращением. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта персональных данных или его представителя.8.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, указанных в части 7 статьи 14 ФЗ «О персональных данных», а также право на ознакомление со своими персональными данными.
Оператор сообщает Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставляет Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных, при обращении Субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъектаперсональных данных мотивированного уведомления с указанием причин продления срока предоставления информации.
В случае отказа в предоставлении информации Субъекту персональных данных или его представителю при их обращении/запросе Оператор дает в письменной форме мотивированный ответ в срок, не превышающий 10 (десяти) рабочих дней со дня обращения/запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вноситв них необходимые изменения в срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем таких сведений.
В случае представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являютсянеобходимыми для заявленной цели обработки, Операторуничтожает такие персональные данные в срок, не превышающий 7 (семи) рабочих дней со дня представления Субъектом персональных данных или его представителем таких сведений.
Оператор уведомляет Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

9. Заключительные положения

9.1. Контроль за соблюдением требований законодательства РФ, а также локальных нормативных актов Оператора, регламентирующих порядок обработки персональных данных, осуществляется лицом ответственным за организацию обработки персональных данных.
9.2. Лица, виновные в нарушении требований законодательства РФ и локальных нормативных актов Оператора в области персональных данных, несут ответственность, предусмотренную законодательством РФ.