Политика конфиденциальности и обработки персональных данных

1. Общие положения
   1. Настоящая Политика конфиденциальности и обработки персональных данных (далее – «Политика») составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных»№ 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые Общество с ограниченной ответственностью «Ферст трэйнинг групп», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1097746392127 14.07.2009 года, ИНН 7723721430 (далее – «Оператор») может получить на условиях настоящей Политики от субъекта персональных данных, являющегося работником Оператора, иным лицом, выполняющим работы/оказывающим услуги по соответствующим договорам, заключенным с Оператором, а также работником и/или представителем и/или потребителем (в т.ч. потенциальным потребителем) контрагента Оператора.
   2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
   3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте в сети Интернет по адресу https://happy-job.ru/privacy-policy/, если иное не предусмотрено новой редакцией Политики.
   4. В случае, когда заключенный между Оператором Контрагентом лицензионный или иной договор, содержат положения об использовании персональной информации и/или персональных данных, применяются положения Политики и такого договора в части, не противоречащей Политике.
   5. Контрагент, заключая с Оператором лицензионный или иной договор, на условиях Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных) поручает Оператору обработку персональных данных своих работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей), направленных Контрагентом Оператору, для целей исполнения Оператором своих обязательств по заключенному с Контрагентом договору.
2. Термины и принятые сокращения
   1. Для целей настоящей Политики используются следующие термины:
      • Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
      • Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
      • Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
      • Информационная система персональных данных (ИСПД) —
      • Персональные данные, сделанные общедоступными субъектом персональных данных — доступ неограниченного круга лиц к персональным данным субъекта персональных данных, который предоставлен субъектом персональных данных либо по его просьбе.
      • Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
      • Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
      • Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
      • Оператор — организация, самостоятельно или совместно с другими лицами, организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «Ферст трэйнинг групп», зарегистрированное в соответствии с законодательством Российской Федерации за основным государственным регистрационным номером (ОГРН) 1097746392127 14.07.2009 года, ИНН 7723721430, юридический адрес: 117587, Москва Варшавское шоссе, д118 к1, 10 этаж, пом. XLII, ком. 3. При этом в рамках Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных) Оператор выступает в качестве обработчика, а Контрагент в качестве оператора.
      • Программное обеспечение (ПО) — указанное в заключенном между Оператором и Контрагентом лицензионном или ином договоре программное обеспечение, право использования которого предоставляется Оператором Контрагенту на условиях простой (неисключительной) лицензии или посредством которого Оператор осуществляет оказание Контрагенту услуг.
      • Контрагент — юридическое лицо или индивидуальный предприниматель, заключившее с Оператором лицензионный или иной договор, в рамках которого Оператор предоставляет такому контрагенту Оператора на условиях простой (неисключительной) лицензии право использования ПО или в рамках которого Оператор осуществляет оказания Контрагенту услуг посредством ПО.
   2. Другие термины, не определенные в п. 2.1. Политики, трактуются в соответствии с действующим законодательством Российской Федерации и Федеральным закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
3. Обработка персональных данных
   1. Получение Персональных данных.
      
      1. Все Персональные данные следует получать от самого субъекта персональных данных. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен такой третьей стороной об этом или такой третьей стороной от него должно быть получено согласие. Третья сторона подтверждает, что у нее имеются все полномочия по предоставлению Персональных данных субъекта персональных данных Оператору. Для целей настоящей Политики в качестве третьей стороны по тексту настоящего пункта Политики понимается, в том числе, Контрагент.
      2. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, перечне действий с Персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение, за исключением случаев, когда обработка таких персональных данных поручена Оператору Контрагентом в рамках Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных).
      3. Документы, содержащие Персональные данные, создаются путем:
         
         • копирования оригиналов документов;
         • внесения сведений в учетные формы ПО, в том числе субъектом персональных данных, в процессе использования субъектом такого ПО
         • получения информации и содержании документов или копий таких документов посредством направления таких документов, в том числе в электронной форме, Оператору;
         • получения оригиналов необходимых документов.
      4. Информация, получаемая ПО при его использовании работниками и/или представителями и/или потребителями (в т.ч. потенциальными потребителями) Контрагента.
         1. Предоставленное Оператором Контрагенту на основании заключенного между ними лицензионного или иного договора ПО, собирает, получает доступ и использует в определенных Политикой целях персональные данные работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента, работников Оператора или иного лица, выполняющего работы/оказывающего услуги по соответствующим договорам, заключенным с Оператором, а также техническую и иную информацию, связанную с такими лицами, в процессе использования ими ПО.
         2. Техническая информация не является персональными данными. ПО использует файлы cookie, которые позволяют идентифицировать работника и/или представителя и/или потребителя (в т.ч. потенциальных потребителей) Контрагента, работника Оператора или иного лица, выполняющего работы/оказывающего услуги по соответствующим договорам, заключенным с Оператором. Файлы cookie – это текстовые файлы, доступные ПО для обработки информации об активности работника и/или представителя и/или потребителя (в т.ч. потенциальных потребителей) Контрагента, работника Оператора или иного лица, выполняющего работы/оказывающего услуги по соответствующим договорам, заключенным с Оператором, включая информацию о том, какие страницы ПО посещало такое лицо и о времени, которое такое лицо провело на странице ПО. Работник и/или представитель и/или потребитель (в т.ч. потенциальный потребитель) Контрагента, работник Оператора или иного лица, выполняющего работы/оказывающего услуги по соответствующим договорам, заключенным с Оператором может отключить возможность использования файлов cookie в настройках браузера.
         3. Также под технической информацией понимается информация, которая автоматически передается ПО в процессе использования ПО с помощью установленного на устройстве работника и/или представителя и/или потребителя (в т.ч. потенциальных потребителей) Контрагента, работника Оператора или иного лица, выполняющего работы/оказывающего услуги по соответствующим договорам, заключенным с Оператором, программного обеспечения, в том числе IP адрес, история посещений браузера и др.
   2. Обработка Персональных данных.
      
      1. Обработка Персональных данных осуществляется:
         
         • с согласия субъекта персональных данных на обработку его Персональных данных;
         • с согласия третьего лица, действующего в интересах субъекта персональных данных, на обработку его Персональных данных;
         • в случаях, когда обработка Персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
         • в случаях, когда обработка Персональных данных поручена Оператору Контрагентом в соответствии с условиями Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных);
         • в случаях, когда осуществляется обработка Персональных данных, сделанных общедоступными субъектом персональных данных.
      2. Цели обработки Персональных данных:
         
         • цели, указанные в п. 3.2.3.1.1. и 3.2.3.2.1. настоящей Политики.
      3. Категории субъектов персональных данных.
         
         1. Работники и/или представители и/или потребители (в т.ч. потенциальные потребители) Контрагента (физические лица):
            
            1. Обработка Персональных данных работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента (физических лиц) осуществляется в целях исполнения заключенного между Оператором и Контрагентом лицензионного или иного договора, в рамках которого Оператор предоставляет такому контрагенту Оператора на условиях простой (неисключительной) лицензии право использования ПО или в рамках которого Оператор осуществляет оказания Контрагенту услуг посредством ПО. Контрагент поручил Оператору обработку Персональных данных на условиях Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных) в результате заключения с Оператором лицензионного или иного договора.
            2. Основание для обработки Персональных данных: п. 3 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных), при этом в данном случае Контрагент является оператором, а Оператор обработчиком, как это указано в Приложении № 1 к настоящей Политике (Поручение на обработку персональных данных).
            3. Сроки обработки: в течение срока действия лицензионного или иного договора, заключенного между Оператором и Контрагентом.
         2. Работники Оператора, а также иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором, а именно:
            
            • физические лица, состоящие с Оператором в трудовых отношениях;
            • физические лица, уволившиеся из штата Оператора;
            • физические лица, являющиеся кандидатами на работу в организации Оператора;
            • физические лица, состоящие с Оператором в гражданско-правовых отношениях.
            1. Обработка Персональных данных работников Оператора осуществляется в целях исполнения трудовых договоров. Обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, осуществляется в целях исполнения таких договоров, стороной которых являются субъекты персональных данных.
            2. Основание для обработки Персональных данных: ч. 5 п. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (договор, стороной которого является субъект персональных данных).
            3. Сроки обработки:
               
               • обработка Персональных данных работников Оператора осуществляется в соответствии с требованиями действующего трудового законодательства Российской Федерации об архивном делопроизводстве. Личное дело работника Оператора после прекращения трудового договора с работником Оператора передается в архив, и хранится 75 лет. Личные дела руководителей Оператора хранятся постоянно.
               • обработка Персональных данных иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором, осуществляется в целях исполнения таких договоров и в соответствии с требованиями действующего законодательства Российской Федерации, но не менее, чем до истечения трёх лет с момента окончания срока действия соответствующего договора, заключенного таким лицом с Оператором.
         3. Персональные данные, обрабатываемые Оператором:
            
            1. Состав обрабатываемых Персональных данных работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента (физических лиц):
               
               • фамилия, имя, отчество;
               • адрес электронной почты;
               • номер телефона;
               • сведения о месте работы;
               • должность;
               • иные сведения, в том числе внесенные субъектом персональных данных сведения в учетные формы ПО в рамках использования такого ПО (возраст, пол, стаж работы, город работы, название подразделения, в котором работает субъект персональных данных и другое).
            2. Состав обрабатываемых Персональных данных работников Оператора, а также иных лиц, выполняющих работы/оказывающих услуги по соответствующим договорам, заключенным с Оператором:
               
               • данные, полученные при осуществлении трудовых отношений;
               • данные, полученные для осуществления отбора кандидатов на работу;
               • данные, полученные при осуществлении гражданско-правовых отношений.
         4. Обработка Персональных данных ведется:
            
            • с использованием средств автоматизации;
            • без использования средств автоматизации.
         5. Автоматизированная, равно как и неавтоматизированная обработка Персональных данных должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:
            
            • законности целей и способов обработки Персональных данных;
            • соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, в том числе целям обработки, установленным Приложением № 1 к настоящей Политике (Поручение на обработку персональных данных), если обработка Персональных данных осуществляется Оператором на его основании;
            • соответствия объема и характера обрабатываемых Персональных данных, способов обработки Персональных данных целям обработки Персональных данных;
            • достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
            • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем Персональных данных;
            • уничтожения Персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
            • личной ответственности работников Оператора Персональных данных за сохранность и конфиденциальность Персональных данных, а также носителей этой информации;
            • наличия четкой разрешительной системы доступа работников Оператора к документам и базам данных, содержащим Персональные данные.
      4. Хранение Персональных данных.
         
         1. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
         2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
         3. Персональные данные субъектов персональных данных, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
         4. Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
         5. Хранение Персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
      5. Обезличивание Персональных данных.
         
         1. При обработке Оператором в период срока действия лицензионного или иного договора, заключенного между Оператором и Контрагентом, персональных данных работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента (физических лиц), Оператор вправе обезличить Персональные данные работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента (физических лиц) и хранить результаты такого Обезличивания персональных данных.
         2. В соответствии с Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» Оператор использует следующие методы Обезличивания Персональных данных:
            
            • метод введения идентификаторов — замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
            • метод изменения состава или семантики — изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
            • метод декомпозиции — разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
            • метод перемешивания — перестановка отдельных записей, а также групп записей в массиве персональных данных.Конкретный метод Обезличивания Персональных данных из перечня, указанного в настоящем пункте Политики, определяется Оператором в одностороннем порядке.
         3. Факт Обезличивания персональных данных подтверждается документально актом об обезличивании Персональных данных.
      6. Уничтожение Персональных данных.
         
         1. Уничтожение документов (носителей), содержащих Персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
         2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя без возможности восстановления данных.
         3. Факт уничтожения Персональных данных подтверждается документально актом об уничтожении носителей.
      7. Передача Персональных данных.
         
         1. Оператор передает Персональные данные третьим лицам в следующих случаях:
            
            • субъект персональных данных выразил свое согласие на такие действия;
            • передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством Российской Федерации процедуры, в том числе и трансграничная передача Персональных данных.
         2. Перечень лиц, которым передаются Персональные данные.
            
            • Пенсионный фонд Российской Федерации для учета (на законных основаниях);
            • налоговые органы Российской Федерации (на законных основаниях);
            • Фонд социального страхования Российской Федерации (на законных основаниях);
            • территориальный фонд обязательного медицинского страхования (на законных основаниях);
            • страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
            • банки для начисления заработной платы (на основании договора);
            • органы МВД России в случаях, установленных законодательством;
            • иные государственные органы (на законных основаниях).
4. Обеспечение безопасности персональных данных
   
   1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
   2. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
   3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
   4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
   5. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту Персональных данных.
      
      1. Назначение Оператором лица, ответственного за обработку Персональных данных, которое осуществляет организацию обработки Персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите Персональных данных.
      2. Определение актуальных угроз безопасности Персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите Персональных данных.
      3. Разработка настоящей Политики в отношении обработки Персональных данных.
      4. Установление правил доступа к Персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с Персональными данными в ИСПД.
      5. Установление индивидуальных паролей доступа работников Оператора в информационную систему в соответствии с их производственными обязанностями.
      6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
      7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
      8. Соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ.
      9. Обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер.
      10. Восстановление Персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
      11. Обучение работников Оператора, непосредственно осуществляющих обработку Персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите Персональных данных, документам, определяющим политику Оператора в отношении обработки Персональных данных, локальным актам по вопросам обработки Персональных данных.
      12. Осуществление внутреннего контроля и аудита.
   6. Лица (работники Оператора, а также иные лица, выполняющие работы/оказывающие услуги по соответствующим договорам, заключенным с Оператором), по вине которых было допущено нарушение норм, регулирующих обработку Персональных данных работников и/или представителей и/или потребителей (в т.ч. потенциальных потребителей) Контрагента, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности
5. Основные права субъекта персональных данных и обязанности оператора
   1. Основные права и обязанности субъекта персональных данных.
      Субъект персональных данных имеет право на доступ к его Персональным данным и следующим сведениям:
      • подтверждение факта обработки Персональных данных Оператором;
      • правовые основания и цели обработки Персональных данных;
      • цели и применяемые Оператором способы обработки Персональных данных;
      • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
      • сроки обработки Персональных данных, в том числе сроки их хранения;
      • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
      • в случаях предоставления Персональных данных третьего лица субъект, предоставивший Персональные данные, или Контрагент, поручивший обработку Персональных данных Оператору на условиях Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных), уведомляет субъекта, чьи Персональные данные он предоставил;
      • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
      • обращение к Оператору и направление ему запросов;
      • обжалование действий или бездействия Оператора.
      1. Субъект Персональных данных может в любое время отозвать согласие на обработку персональных данных, направив Оператору соответствующее письменное уведомление на почтовый адрес Оператор sales@happy-job.ru. При этом субъект персональных данных понимает, что Оператор вправе продолжить использование такой информации в случаях, допустимых применимым законодательством.
   2. Обязанности Оператора.
      Оператор обязан:
      • при сборе Персональных данных предоставить информацию об обработке Персональных данных;
      • в случаях если Персональные данные были получены не от субъекта персональных данных, уведомить субъекта персональных данных, за исключением случаев, когда обработка таких персональных данных поручена Оператору Контрагентом в рамках Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных);
      • при отказе в предоставлении Персональных данных субъекту персональных данных разъясняются последствия такого отказа;
      • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки Персональных данных, к сведениям о реализуемых требованиях к защите Персональных данных;
      • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных;
      • давать ответы на запросы и обращения субъектов Персональных данных, их представителей и уполномоченного органа по защите прав субъектов Персональных данных, за исключением случаев, когда обработка таких персональных данных поручена Оператору Контрагентом в рамках Приложения № 1 к настоящей Политике (Поручение на обработку персональных данных).

Приложение № 1 к настоящей Политике (Поручение на обработку персональных данных).