Политика общества с ограниченной ответственностью «Консалтинговая компания «Мир»

в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика общества с ограниченной ответственностью «Консалтинговая компания «Мир» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в том числе в отношении обработки персональных данных пользователей Сайта https://kk-mir.ru/, включая все уровни указанного домена и содержащиеся на них страницы.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Консалтинговая компания «Мир» (далее - Оператор, ООО «КК «Мир»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5.Оператор обрабатывает персональные данные на основании:
·   Конституция Российской Федерации;
·   Закона о персональных данных и принятых на его основе нормативных правовых актов, регулирующих отношения, связанные с обработкой персональных данных;
·   Гражданского кодекса Российской Федерации;
·   Трудового кодекса Российской Федерации;
·   Налогового кодекса Российской Федерации;
·   ФЗ от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
·   ФЗ от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
·   ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
·   Иных федеральных законов и прочих нормативных правовых актов, регулирующие отношения, связанные с деятельностью Оператора.
·   Устава ООО «КК «Мир»;
·   Договоров, заключаемых между Оператором и контрагентами, клиенттами - субъектами персональных данных;
·   Согласий на обработку персональных данных.
1.6. Предоставляя Оператору персональные данные и совершая действия, предусмотренные п. 4.1 Политики, Субъект соглашается на их обработку в соответствии с настоящей политикой.

2. Термины и определения

2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных – Оператор, сведения о котором указаны в п. 1.1 настоящей Политики, осуществляющий обработку персональных данных, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.10. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.11. Субъект персональных данных - физическое лицо, персональные данные которого обрабатываются.
2.12. Материальный носитель персональных данных – материальный носитель (дела, журналы учета, договоры, машинные носители информации) с зафиксированной на нем в любой форме информацией, содержащей персональные данные субъектов персональных данных.
2.13. Конфиденциальность персональных данных – обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные.
2.14. Сайт - совокупность связанных между собой веб-страниц, размещенных в информационно-коммуникационной сети «Интернет» по уникальному адресу, указанному в п. 1.1 настоящей Политики.
2.15. Cookie (куки) — это небольшие фрагменты данных, которые содержат информацию о пользователе и его действиях на Сайте.

3. Основные права и обязанности Оператора

3.1. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных всю информацию, касающуюся обработки его персональных данных.
3.2. Если предоставление персональных данных является обязательным в соответствии с Законом о персональных данных, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
3.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике, к сведениям о реализуемых требованиях к защите персональных данных. Оператор в случае осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей обязан опубликовать в соответствующих информационно- телекоммуникационных сетях Политику и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующих информационно- телекоммуникационных сетей.
3.6. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных.
3.8. Операторимеет право самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

4. Основные права и обязанности субъекта персональных данных

4.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе, в том числе при активации соответствующего чек-бокса на Сайте при отправке персональных данных или путем предоставления согласия в ответе на вопрос о согласии на обработку персональных данных.
4.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъект персональных данных вправе на:
4.3.1. доступ к персональным данным;
4.3.2. уточнение персональных данных;
4.3.3. блокирование и удаление персональных данных;
4.3.4. обжалование действий или бездействия;
4.3.5. обжалование решений, принятых на основании исключительно автоматизированной обработки персональных данных;
4.3.6. отзыв согласия на обработку персональных данных.
4.4. Посредством запроса на электронную почту Оператора kkmir-sochi@ya.ru или на почтовый адрес: 354000, г. Сочи, ул. Конституции СССР, д. 24а, оф. 64 субъект персональных данных вправе реализовывать свои права. В запросе необходимо указать: фамилию, имя, отчество; адрес электронной почты и (или) почтовый адрес номер телефона.
4.5. Субъект персональных данных обязан предоставлять Оператору достоверные персональные данные.

5. Цели обработки, категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей или при наступлении иных законных оснований

5.1. К категориям субъектов персональных данных относятся:
5.1.1. Физические лица, состоящие в трудовых отношениях с Оператором, в том числе физические лица, уволившиеся из Организации.
·       В данной категории субъектов оператором обрабатываются персональные данные в целях ведения кадровой работы и организации учета работников Организации, регулирование трудовых и иных, непосредственно связанных с ними отношений, а также выполнение требований трудового, налогового законодательства, воинского учета, государственного статистического учета и иных предусмотренных действующим законодательством требований.
·       Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, паспортные данные (серия, номер, кем и когда выдан), дата рождения, место рождения, гражданство, пол, ИНН, СНИЛС, сведения об образовании и квалификации, сведения о наградах, поощрениях, почетных званиях, сведения, содержащиеся в документах об образовании, сведения о трудовой деятельности и стаже, сведения о семейном положения, серия и номер документа подтверждающего смену фамилии, сведения, содержащиеся в документах воинского учета, сведения, необходимые для начисления заработной платы работника и иных выплат, сведения о состоянии здоровья, адрес проживания и/или адрес регистрации, фотография, научные звания и регалии, сведения о водительском удостоверении.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: в соответствии с требованиями трудового, налогового законодательства.
·       Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта.
5.1.2. Физические лица, являющиеся кандидатами на работу.
·       В данной категории субъектов оператором обрабатываются персональные данные в целях привлечение и отбор кандидатов на работу в Организации.
·       Категории субъектов: кандидаты на занятие вакантных должностей в Организации.
·       Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, сведения об образовании, сведения об опыте работы, иные сведения, которые соискатель может направить в своем резюме или анкете.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: до принятия решения о трудоустройстве кандидата или его несоответствия вакансии.
·       Порядок уничтожения: удаление персональных данных из системы без возможности восстановления.
5.1.2. Клиенты и контрагенты оператора (физические лица)
·       В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в целях заключения и исполнения договора, стороной которого является субъект персональных данных.
·       Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, паспортные данные (серия, номер, кем и когда выдан), ИНН, СНИЛС, адрес проживания и/или регистрации, банковские реквизиты.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: в соответствии с требованиям действующего законодательства о налоговом и бухгалтерском учете.
·       Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта.
5.1.3. Представители/работники клиентов и контрагентов оператора (юридических лиц)
·       В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в целях исполнения договора, стороной которого является клиент/контрагент (юридическое лицо)
·       Перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: до истечения действия договора или смены представителей/работников контрагентов-юридических лиц, с которыми осуществляется взаимодействие в целях исполнения договора.
·       Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта.
5.1.4. Зарегистрированные пользователи сайта Оператора
·       В данной категории субъектов Оператором обрабатываются персональные данные посетителей сайта с целью предоставления пользователям сайта персонализированных возможностей.
·       Перечень обрабатываемых персональных данных: имя, адрес электронной почты, номер телефона.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: до отзыва согласия на обработку персональных данных
·       Порядок уничтожения: удаление персональных данных из системы без возможности восстановления.
  5.1.5. Члены семьи работников Оператора
·       В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений.
·       Перечень обрабатываемых персональных данных: фамилия, имя, отчество, степень родства, дата, месяц, год рождения.
·       Способ обработки: смешанная (автоматизированная и неавтоматизированная)
·       Сроки обработки и хранения: в соответствии с требованиями трудового, налогового законодательства.
·       Порядок уничтожения: ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта.
5.1.6. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
·       Категории и перечень обрабатываемых персональных данных в отношении других субъектов персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в разделе 4 Политики.
5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Организации не осуществляется.
5.3. Трансграничная передача данных Оператором не осуществляется.
5.4. Обработка биометрических персональных данных в Организации допускается только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Организации на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, при этом Оператором не осуществляется обработка биометрических персональных данных и их специализированных категорий, а также данных о расовой, национальной принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья, интимной жизни и прочих аналогичных сведений, не требующихся для достижения целей обработки персональных данных.
6.2. В случае несогласия пользователя Сайта с условиями Политики использование Сайта и/или каких-либо сервисов Оператора, доступных при использовании Сайта, должно быть немедленно прекращено.
6.3. При обработке персональных данных субъектов персональных данных, в том числе пользователей Сайта, Оператор исходит из принципов достоверности, актуальности и полноты предоставляемых сведений.
6.4. Обработка персональных данных осуществляется Оператором способом автоматизированной обработки персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
6.5. Оператор организует обработку персональных данных в следующем порядке:
6.5.1. назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;
6.5.2. издает Политику, иные локальные акты по вопросам обработки персональных данных и применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
6.5.3. осуществляет внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, локальным актам Оператора;
6.5.4. осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяет соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;
6.6. При обработке персональных данных Оператор выполняет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуется для достижения целей обработки персональных данных.
6.8. Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочиями. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Оператором, а также в случаях, установленных Законом о персональных данных.
6.9. Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять металлические шкафы открытыми в случае выхода работника из рабочего помещения.
6.10. Условием прекращения обработки персональных данных могут являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия пользователя Сайта на обработку персональных данных, а также выявление неправомерной обработки персональных данных.
6.11. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Уничтожение персональных данных происходит путем удаления данных пользователя Оператором из системы или ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. По факту удаления персональных данных пользователей из системы Оператором составляется Акт об удалении персональных данных. В случае, если пользователь Сайта направил заявление на отзыв согласия на обработку персональных данных Оператору, пользователю направляется Акт об удалении персональных данных по адресу электронной почты, указанной при регистрации на Сайте.
6.12. Отзыв субъектом персональных данных согласия на их обработку направляется Оператору посредством соответствующего письменного уведомления одним из следующих способов:
6.12.1. По адресу государственной регистрации Оператора: 354000, г. Сочи, ул. Конституции СССР, д. 24а, оф. 64 
6.12.2. Путем обращения к Оператору с соответствующим запросом по электронной почте: kkmir-sochi@ya.ru

7. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
7.2. Оператор обязан сообщить Субъекту персональных данных или его уполномоченному представителю информацию об осуществляемой им обработке персональных данных такого Субъекта по запросу последнего по следующим контактам:
адрес электронной почты: kkmir-sochi@ya.ru
номер телефона: 8 928 880 00 77
почтовый адрес: 354000, г. Сочи, ул. Конституции СССР, д. 24а, оф. 64
7.3.Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
·   номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
·   сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
·   подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператором осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператором осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

8. Заключительные положения

8.1. Политика вступает в силу с момента утверждения.
8.2. Оператор имеет право вносить изменения в Политику в случае изменения нормативных правовых актов Российской Федерации, а также по своему усмотрению, уведомляя Субъекта.
8.3. Доступ к персональным данным передается следующим третьим лицам: