karikari kids
karikari kids
Поиск
karikari kids
00

Политика в отношении обработки персональных данных

Приложение № 1 к Приказу № 624-23 от «20» февраля 2023 года Об утверждении политики в области обработки персональных данных

 

Политика в области обработки и защиты персональных данных

 

1. Общие положения

1.1. Настоящая политика в области обработки и защиты персональных данных (далее по тексту - Политика):

— разработана в целях обеспечения реализации требований законодательства РФ в области обработки и защиты персональных данных субъектов персональных данных;

— раскрывает основные категории персональных данных, обрабатываемых ООО «КАРИ» (далее по тексту - Оператор), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;

— является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

1.2. Основные понятия, используемые в Политике:

Персональные данные - сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Мобильное приложение — программное обеспечение, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для конкретной платформы (iOS, Android, Windows Phone и т. д.).

Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Пользователь – любой посетитель Сайта https://kari.com/, а также лицо, пользующееся мобильным приложением kari.

Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://kari.com/

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

 

2. Правовые основания и цели обработки персональных данных

2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

— Конституция Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

— Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

— Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования";

— Федеральный закон от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством";

— Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

— Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных";

— Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.09.2008 N 687.

2.2. Во исполнение настоящей Политики руководителем Оператора приняты соответствующие локальные правовые акты.

2.3. Цели обработки персональных данных:

— исполнение положений нормативных правовых актов, указанных в пункте 2.1 настоящей Политики;

— ведение кадрового учета работников Оператора и начисления им заработной платы, оплаты услуг лиц по договорам гражданско-правового характера, ведение кадрового резерва Оператора;

— выполнение функций в соответствии с уставом Оператора;

— рассмотрение обращений граждан Российской Федерации;

— иные цели.

 

3. Сведения об обработке персональных данных

3.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

3.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.

3.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

3.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

3.5. Для достижения целей обработки персональных данных и с согласия субъектов персональных данных Оператор поручает их обработку компаниям, предоставляющим доступ с использованием информационно-телекоммуникационных сетей к программному обеспечению, входящему в информационную систему Оператора.

3.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

3.7. Для достижения целей обработки персональных данных и с согласия субъектов персональных данных Оператор может осуществлять трансграничную передачу персональных данных.

 

4. Обработка персональных данных работников

4.1. Оператор обрабатывает персональные данные работников Оператора в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ).

4.2. Оператор обрабатывает персональные данные работников с целью выполнения трудовых договоров с работниками, соблюдения норм законодательства РФ, и иными законными целями, в частности:

— вести кадровый учёт;

— вести бухгалтерский учёт;

— осуществлять функции, полномочия и обязанности, возложенные законодательством РФ на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Единый государственный внебюджетный Социальный фонд России, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

— соблюдать нормы и требования по охране труда и обеспечения личной безопасности работников ООО "КАРИ", сохранности имущества;

— контролировать количество и качество выполняемой работы;

— предоставлять льготы и компенсации, предусмотренные законодательством РФ;

— открывать личные банковские счета работников ООО "КАРИ" для перечисления заработной платы;

— обеспечивать пропускной режим на территорию Оператора;

— организовывать обучение работников ООО "КАРИ".

4.3. Оператор обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора.

4.4. Оператор обрабатывает персональные данные работников в течение срока действия трудового договора. Оператор обрабатывает персональные данные уволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами.

4.5. Оператор может обрабатывать специальные категории персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».

4.6. Оператор обрабатывает биометрические персональные данные работников с их письменного согласия на основании ч. 1 ст. 11 ФЗ «О персональных данных».

4.7. Оператор обрабатывает персональные данные работников:

— Фамилия, имя, отчество;

— Тип, серия и номер документа, удостоверяющего личность;

— Дата выдачи документа, удостоверяющего личность, и выдавшем его органе;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Идентификационный номер налогоплательщика;

— Профессия;

— Табельный номер;

— Место рождения;

— Адрес;

— Мобильный телефон;

— Адрес электронной почты;

— Фотография;

— Приобретенные товары;

— Оказанные услуги;

— Номер страхового свидетельства государственного пенсионного страхования;

— Семейное положение;

— Образование;

— Доходы;

— Страховые взносы на ОПС;

— Страховые взносы на ОМС;

— Трудовой стаж;

— Имущественное положение;

— Социальное положение;

— Дактилоскопические данные.

4.8. В порядке, установленном законодательством, и в соответствии со ст. 7 ФЗ «О персональных данных» для достижения целей обработки персональных данных и с согласия работников Оператор предоставляет персональные данные работников или поручает их обработку следующим лицам:

— Государственные органы (СФР, ФНС и др.);

— Банк (в рамках зарплатного проекта);

— Компании пассажирских грузоперевозок и гостиницы (в рамках организации командировок).

 

5. Обработка персональных данных сотрудников по договорам гражданско-правового характера

5.1. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.

5.2. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в целях соблюдения норм законодательства РФ, а также:

— заключать и выполнять договора гражданско-правового характера.

5.3. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера с их согласия, предоставляемого на срок действия заключенных с ними договоров. Согласие предоставляется при заключении договора в письменной форме или при совершении конклюдентных действий.

5.4. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные сотрудников по договорам гражданско-правового характера после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

5.5. Оператор обрабатывает персональные данные сотрудников по договорам гражданско-правового характера:

— Фамилия, имя, отчество;

— Тип, серия и номер документа, удостоверяющего личность;

— Дата выдачи документа, удостоверяющего личность, и выдавшем его органе;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Место рождения;

— Адрес;

— Мобильный телефон;

— Адрес электронной почты;

— Идентификационный номер налогоплательщика;

— Номер страхового свидетельства государственного пенсионного страхования;

— Семейное положение;

— Фотография;

— Образование;

— Профессия;

— Доходы;

— Страховые взносы на ОПС;

— Страховые взносы на ОМС;

— Табельный номер;

— Трудовой стаж;

— Имущественное положение;

— Социальное положение.

 

6. Обработка персональных данных соискателей

6.1. Оператор обрабатывает персональные данные соискателей вакантных должностей (далее — соискателей).

6.2. Оператор обрабатывает персональные данные соискателей с целью:

— принимать решения о приёме либо отказе в приёме на работу;

— вести кадровый резерв.

6.3. Оператор обрабатывает персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.

6.4. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в согласии.

6.5. Оператор не обрабатывает специальные категории персональных данных соискателей и биометрические персональные данные соискателей.

6.6. Оператор обрабатывает персональные данные соискателей:

— Фамилия, имя, отчество;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Мобильный телефон;

— Адрес электронной почты;

— Образование;

— Профессия;

— Доходы;

— Табельный номер;

— Трудовой стаж;

— Оказанные услуги;

— Адрес.

 

7. Обработка персональных данных работников контрагента

7.1. Оператор обрабатывает персональные данные работников контрагента в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.

7.2. Оператор обрабатывает персональные данные работников контрагента с целью:

— заключать и выполнять обязательства по договорам с контрагентами.

7.3. Оператор обрабатывает персональные данные работников контрагента с их согласия, предоставляемого на срок действия заключенных с ними договоров. Согласие предоставляется при заключении договора в письменной форме или при совершении конклюдентных действий.

7.4. Оператор обрабатывает персональные данные работников контрагента в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные работников контрагента после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

7.5. Оператор обрабатывает персональные данные работников контрагента:

— Фамилия, имя, отчество;

— Тип, серия и номер документа, удостоверяющего личность;

— Дата выдачи документа, удостоверяющего личность, и выдавшем его органе;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Место рождения;

— Адрес;

— Мобильный телефон;

— Адрес электронной почты;

— Идентификационный номер налогоплательщика;

— Фотография;

— Приобретенные товары;

— Оказанные услуги.

 

8. Обработка персональных данных клиентов, в том числе пользователей интернет сайта и мобильного приложения

8.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее — клиентов).

8.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также:

— заключать и выполнять обязательства по договорам с клиентами;

— информировать о новых товарах, специальных акциях и предложениях;

— оформлять дисконтные карты.

8.3. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого на срок действия заключенных с ними договоров. Согласие предоставляется при заключении договора в письменной форме или при совершении конклюдентных действий.

8.4. Оператор обрабатывает обезличенные данные о Пользователе сайта в случае, если это разрешено в настройках браузера Пользователя.

8.5. Оператор обрабатывает персональные данные клиентов в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные клиентов после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

8.5. Оператор обрабатывает персональные данные клиентов:

— Фамилия, имя, отчество;

— Тип, серия и номер документа, удостоверяющего личность;

— Дата выдачи документа, удостоверяющего личность, и выдавшем его органе;

— Год рождения;

— Месяц рождения;

— Дата рождения;

— Место рождения;

— Адрес;

— Мобильный телефон;

— Адрес электронной почты;

— Идентификационный номер налогоплательщика;

— Фотография;

— Приобретенные товары;

— Оказанные услуги

— Сообщения и материалы, размещенные пользователем на сайте Оператора и в мобильном приложении Оператора.

8.6. Пользователь интернет сайта и мобильного приложения соглашается с тем, что размещенный им сайте Оператора и в мобильном приложении Оператора пользовательский контент может быть использован Оператором в рекламных или маркетинговых материалах Оператора, без обязанности предоставлять отчеты об использовании такого контента, без необходимости получения специального разрешения Пользователя и без выплаты авторского вознаграждения, на территории всего мира без ограничения срока, с правом Оператора предоставлять указанные права использования таких сообщений и материалов третьим лицам.

 

9. Сведения об обеспечении безопасности персональных данных

9.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

9.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:

— обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);

— во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;

— производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением; — осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;

— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора; — применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;

— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.

 

10. Права субъектов персональных данных

10.1. Субъект персональных данных имеет право:

— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— на отзыв данного им согласия на обработку персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

 

11. Уточнение, блокирование и уничтожение персональных данных

11.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.

11.2. Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

11.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

11.4. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

11.5. Уничтожение персональных данных осуществляется Оператором:

— по достижении цели обработки персональных данных;

— в случае утраты необходимости в достижении целей обработки персональных данных;

— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

— по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

11.6. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.