ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) подготовлена в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее — 152-ФЗ) и определяет порядок обработки и защиты персональных данных, получаемых ООО «ЭС АЙ ЭНД ПИ» (далее — Оператор) при использовании сайта siandp.com и при деловой коммуникации. Политика направлена на обеспечение законных прав и свобод субъектов персональных данных.
1.2. Оператор оказывает услуги в профессиональном и деловом контексте — организациям, индивидуальным предпринимателям, а также физическим лицам, действующим в профессиональном или предпринимательском качестве (консультанты, фрилансеры, самозанятые и иные специалисты). Сайт и контактные каналы Оператора предназначены для деловых обращений.
1.3. Оператор не оказывает услуги физическим лицам в качестве потребителей для личных, семейных, домашних или иных нужд, не связанных с профессиональной или предпринимательской деятельностью. Направляя обращение Оператору, лицо подтверждает, что действует в профессиональном или деловом контексте.
1.4. Персональные данные обрабатываются в объёме, необходимом для рассмотрения делового обращения, подготовки ответа, коммерческого предложения, заключения и исполнения договора.
1.5. На сайте siandp.com не используются потребительские сервисы: личные кабинеты для физических лиц как потребителей, онлайн-оплата в потребительском контексте, массовые потребительские рекламные рассылки физическим лицам и профилирующая поведенческая реклама.
1.6. Основной сценарий обработки: лицо, действующее в профессиональном или деловом контексте, самостоятельно направляет запрос Оператору; Оператор рассматривает обращение и направляет ответ.
1.7. Адрес для обращений по вопросам персональных данных: privacy@m.siandp.com.
2. Термины и определения
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, удаление и уничтожение.
Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения данных).
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) уничтожаются материальные носители.
Оператор — юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав данных и действия с ними.
Деловой контакт — физическое лицо, обращающееся к Оператору в профессиональном или деловом контексте: представитель организации (руководитель, работник, подрядчик), индивидуальный предприниматель, самозанятый, фрилансер, консультант или иной специалист, действующий в профессиональном качестве, а не как потребитель для личных нужд.
3. Принципы обработки персональных данных
Оператор осуществляет обработку персональных данных в соответствии со следующими принципами, закреплёнными в ст. 5 Федерального закона № 152-ФЗ:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки; избыточность не допускается;
при обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям обработки; Оператор принимает меры по удалению или уточнению неполных или неточных данных;
хранение персональных данных осуществляется не дольше, чем того требуют цели обработки, если срок хранения не установлен федеральным законом или договором;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или утрате необходимости в их достижении, если иное не предусмотрено федеральным законом;
принятие решений, порождающих юридические последствия для субъекта, на основании исключительно автоматизированной обработки не осуществляется (ст. 16 152-ФЗ).
4. Категории субъектов и состав персональных данных
4.1. Оператор обрабатывает персональные данные лиц, обращающихся в профессиональном или деловом контексте, а также участвующих в подготовке, заключении или исполнении договора с Оператором.
4.2. В зависимости от характера деловых отношений обрабатываются данные следующих категорий субъектов:
кандидаты на вакантные должности Оператора;
работники Оператора и лица, работающие по гражданско-правовым договорам;
представители контрагентов — юридических лиц, ИП, самозанятых и иных профессиональных участников деловых отношений;
работники и специалисты клиентов, участвующие в оказываемых Оператором услугах.
4.3. Оператор может обрабатывать следующие данные, если они самостоятельно предоставлены в деловом обращении или договорных документах: фамилия, имя, отчество; должность и наименование организации или ИП; рабочий адрес электронной почты; рабочий номер телефона; мессенджер-контакт в деловом контексте; содержание обращения; сведения о договорённостях; история деловой переписки.
4.4. Оператор не обрабатывает специальные категории персональных данных и не запрашивает их у субъектов. К таким данным относятся и не обрабатываются Оператором:
расовая или национальная принадлежность;
политические взгляды;
религиозные или философские убеждения;
состояние здоровья и интимной жизни;
биометрические персональные данные;
данные о судимостях.
4.5. При посещении сайта автоматически обрабатываются технические данные: IP-адрес, user-agent, дата и время посещения, URL, referrer, технические журналы. Оператор не использует такие данные для построения потребительских профилей физических лиц.
4.6. Если на сайте используются cookies или средства аналитики, они применяются только для обеспечения работы сайта, базовой статистики посещений и безопасности. Оператор не использует cookies для поведенческой рекламы. Подробнее — в Политике обработки файлов cookie на сайте siandp.com.
5. Цели и правовые основания обработки
| Цель обработки | Категории данных | Субъекты | Правовое основание | Срок хранения | Перечень действий | Способы обработки |
|---|---|---|---|---|---|---|
| Рассмотрение делового обращения и направление ответа | Рабочие контактные данные, содержание обращения, история переписки | Деловые контакты Оператора | П. 7 ч. 1 ст. 6 (законные интересы); преддоговорная коммуникация | До завершения коммуникации + срок защиты прав | сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в предусмотренных случаях, блокирование, удаление, уничтожение | смешанная обработка: с использованием средств автоматизации и без использования средств автоматизации |
| Подготовка, заключение и исполнение договора | Деловые контактные данные, должность, организация, документы, договорённости | Представители потенциальных и действующих контрагентов | П. 5 ч. 1 ст. 6 (исполнение договора); п. 7 ч. 1 ст. 6 (законные интересы) | Срок отношений + срок исковой давности (не менее 3 лет) | сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в предусмотренных случаях, блокирование, удаление, уничтожение | смешанная обработка: с использованием средств автоматизации и без использования средств автоматизации |
| Деловые информационные сообщения и рассылки | ФИО, рабочий email, должность, компания | Деловые контакты и подписчики, действующие в профессиональном или деловом контексте | П. 1 ч. 1 ст. 6 (согласие субъекта), если такое согласие требуется для соответствующей коммуникации | До отзыва согласия (отписки) + 1 год, если иной срок не требуется для защиты прав Оператора | сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в предусмотренных случаях, блокирование, удаление, уничтожение | смешанная обработка: с использованием средств автоматизации и без использования средств автоматизации |
| Исполнение требований законодательства (налогового, бухгалтерского) | Данные в договорных, бухгалтерских и налоговых документах | Представители контрагентов | П. 3 ч. 1 ст. 6 (исполнение обязанностей оператора) | Сроки бухгалтерского и налогового законодательства (не менее 5 лет) | сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в предусмотренных случаях, блокирование, удаление, уничтожение | смешанная обработка: с использованием средств автоматизации и без использования средств автоматизации |
| Работа сайта и информационная безопасность | IP-адрес, user-agent, дата/время посещения, URL, referrer, технические журналы, cookie ID | Посетители сайта | П. 7 ч. 1 ст. 6 (законные интересы Оператора) | Не дольше срока, необходимого для технических целей и безопасности | сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача в предусмотренных случаях, блокирование, удаление, уничтожение | смешанная обработка: с использованием средств автоматизации и без использования средств автоматизации |
5.1. Нормативная база
Обработка персональных данных осуществляется в соответствии со следующими нормативными актами:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Трудовой кодекс Российской Федерации;
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»;
Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Иные нормативные правовые акты Российской Федерации в области персональных данных.
6. Порядок обработки персональных данных
6.1. Оператор осуществляет смешанную обработку персональных данных: с использованием средств автоматизации и без использования таких средств.
6.2. Персональные данные могут обрабатываться в сервисах электронной почты, рабочих документах, договорных и бухгалтерских документах, технических журналах сайта и иных инструментах, используемых для деловой коммуникации, работы сайта и выполнения договоров.
6.3. Оператор не формирует базы персональных данных физических лиц для потребительского маркетинга и не использует данные деловых контактов для целей, несовместимых с профессиональной коммуникацией.
6.4. Если Оператор осуществляет сбор персональных данных граждан Российской Федерации с использованием сети Интернет, запись, систематизация, накопление, хранение, уточнение и извлечение таких данных выполняются с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
6.5. Персональные данные субъектов хранятся как на электронных, так и на бумажных носителях. Бумажные носители хранятся в надёжно запираемых шкафах в помещениях Оператора. По истечении сроков хранения персональные данные уничтожаются способами, исключающими возможность их восстановления.
7. Согласие субъекта персональных данных
7.1. Направление делового обращения Оператору рассматривается как инициативное предоставление данных для рассмотрения обращения и направления ответа, а не как универсальное согласие на любую обработку персональных данных.
7.2. Если обработка персональных данных требует отдельного согласия субъекта (в частности, для маркетинговых рассылок, проведения оценочных процедур), такое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным, полученным до начала соответствующей обработки.
7.3. Субъект персональных данных вправе отозвать ранее данное согласие, направив обращение по адресу privacy@m.siandp.com. Отзыв согласия не затрагивает законность обработки, осуществлённой до его отзыва, а также не препятствует обработке на иных правовых основаниях, предусмотренных законодательством.
7.4. При отзыве согласия на маркетинговые рассылки Оператор обеспечивает прекращение соответствующей обработки и уничтожение данных в течение 30 дней с даты поступления отзыва, за исключением случаев, когда хранение данных требуется в иных законных целях.
8. Передача данных третьим лицам и трансграничная передача
8.1. Оператор не продаёт персональные данные и не передаёт их третьим лицам для самостоятельного маркетингового использования.
8.2. Персональные данные могут быть доступны поставщикам технических сервисов, используемых для работы сайта, электронной почты, хостинга, аналитики и информационной безопасности, в объёме, необходимом для достижения заявленных целей. При выборе таких поставщиков Оператор учитывает необходимость обработки и хранения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Оператор заключает с такими лицами договоры, предусматривающие обязанность соблюдать требования законодательства о персональных данных.
8.3. При проведении процедур по оценке компетенций сотрудников по поручению клиента — клиент является самостоятельным оператором персональных данных своих работников; Оператор осуществляет обработку в качестве лица, действующего по поручению клиента (ч. 3 ст. 6 152-ФЗ).
8.4. Передача персональных данных государственным органам допускается в случаях и порядке, предусмотренных законодательством Российской Федерации.
8.5. Оператор не осуществляет трансграничную передачу персональных данных. В случае изменения используемых сервисов или возникновения необходимости трансграничной передачи Оператор до начала такой передачи выполнит действия, предусмотренные законодательством Российской Федерации, и при необходимости внесёт изменения в настоящую Политику.
9. Меры по обеспечению безопасности персональных данных
Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий с учётом характера обработки, состава данных, актуальных угроз и применимых требований законодательства Российской Федерации.
9.1. Организационные меры
назначение лица, ответственного за организацию обработки персональных данных;
назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах;
определение и утверждение перечня работников, имеющих доступ к персональным данным;
разработка и утверждение организационно-распорядительных документов, определяющих порядок обработки и защиты персональных данных;
проведение инструктажей работников по требованиям законодательства о персональных данных под подпись;
подписание работниками, имеющими доступ к персональным данным, соглашений о конфиденциальности;
определение перечня мест хранения материальных носителей персональных данных;
учёт машинных (электронных) носителей персональных данных;
определение угроз безопасности персональных данных при их обработке, а при необходимости — формирование модели угроз для информационных систем персональных данных;
проведение оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения 152-ФЗ;
организация порядка уничтожения персональных данных по истечении сроков их обработки;
проведение внутренних проверок соблюдения требований по обеспечению безопасности персональных данных;
физическая защита помещений, в которых осуществляется обработка персональных данных.
9.2. Технические меры
использование защищённых (зашифрованных) соединений при передаче данных;
разграничение прав доступа к информационным системам и персональным данным;
применение многофакторной аутентификации для критичных учётных записей;
использование надёжных паролей и регулярная их смена;
антивирусная защита информационных систем и своевременное обновление антивирусных баз;
регулярное обновление программного обеспечения и операционных систем;
защита сетевой инфраструктуры: межсетевое экранирование, разграничение сетевого доступа;
обеспечение отказоустойчивости и резервного копирования данных;
регистрация и учёт событий информационной безопасности (ведение журналов);
определение и реализация порядка реагирования на инциденты информационной безопасности;
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда их применение требуется законодательством или выбранной моделью защиты;
проведение оценки эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию информационных систем персональных данных в применимых случаях.
9.3. Все работники Оператора, имеющие доступ к персональным данным, ознакомлены с требованиями законодательства, подписывают соглашения о конфиденциальности и несут персональную ответственность за их соблюдение.
10. Права субъекта персональных данных и порядок обработки запросов
10.1. Субъект персональных данных имеет право:
получать информацию об обработке своих персональных данных в порядке, форме и в сроки, установленные законодательством;
требовать уточнения, блокирования или уничтожения персональных данных, если они неполные, устаревшие, недостоверные, незаконно полученные или не являются необходимыми для заявленной цели;
отзывать согласие на обработку персональных данных;
заявлять возражение против принятия решения на основании исключительно автоматизированной обработки персональных данных;
обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) или в судебном порядке;
сообщать Оператору достоверные данные о себе и уведомлять об их изменении.
10.2. Для реализации своих прав субъект персональных данных направляет обращение по адресу: privacy@m.siandp.com. Оператор вправе запросить сведения, необходимые для подтверждения личности заявителя и законности запроса.
10.3. Сроки обработки запросов
Ответ на запрос субъекта — в срок, не превышающий 30 дней с даты получения обращения.
Уточнение неточных персональных данных и снятие блокирования — в течение 7 рабочих дней со дня представления субъектом подтверждающих сведений.
Прекращение неправомерной обработки при её выявлении — в срок, не превышающий 3 рабочих дней; при невозможности обеспечить правомерность — уничтожение в срок не более 10 рабочих дней.
Уничтожение персональных данных после отзыва согласия — в срок, не превышающий 30 дней. Если уничтожение невозможно в этот срок — блокирование с последующим уничтожением не позднее чем через 6 месяцев.
Уничтожение персональных данных по истечении сроков хранения — в срок, не превышающий 30 дней.
10.4. При выявлении неправомерной обработки или неточных данных Оператор обеспечивает блокирование персональных данных на период проведения проверки. Об устранении нарушений или уничтожении данных Оператор уведомляет субъекта или уполномоченный орган.
11. Обязанности Оператора
Оператор обязуется:
не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
предоставлять субъекту персональных данных возможность ознакомления с обрабатываемыми данными;
если персональные данные получены не от субъекта — до начала обработки предоставить субъекту информацию о наименовании и местонахождении Оператора, цели обработки и правовом основании, предполагаемых получателях данных, правах субъекта и источнике получения данных;
разъяснить субъекту юридические последствия отказа предоставить персональные данные, если предоставление является обязательным в соответствии с законодательством;
обеспечить запись, систематизацию, хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных 152-ФЗ;
сообщать в Роскомнадзор по запросу необходимую информацию в течение 30 дней с даты получения запроса;
принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
12. Ответственное лицо
12.1. Лицо, ответственное за организацию обработки персональных данных: генеральный директор ООО «ЭС АЙ ЭНД ПИ».
12.2. Ответственное лицо осуществляет внутренний контроль за соблюдением Оператором требований законодательства в области персональных данных и настоящей Политики, организует работу по обработке обращений субъектов персональных данных, обеспечивает ознакомление работников с требованиями 152-ФЗ и настоящей Политики.
12.3. Ответственность работников Оператора, имеющих доступ к персональным данным, за невыполнение требований законодательства и настоящей Политики определяется в соответствии с законодательством Российской Федерации и внутренними нормативными документами Оператора.
13. Изменение Политики
13.1. Оператор вправе изменять настоящую Политику. Настоящая Политика является общедоступным документом и размещается на сайте siandp.com.
13.2. Новая редакция вступает в силу с момента её размещения на сайте siandp.com, если иное не указано в новой редакции.
13.3. Пользователю рекомендуется периодически проверять актуальную редакцию Политики на сайте siandp.com.
13.4. В случае неисполнения положений настоящей Политики Оператор несёт ответственность в соответствии с законодательством Российской Федерации.