Политика конфиденциальности

+7 495 545 41 95

Политика в отношении обработки персональных

данных

1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1 Настоящая Политика обработки и обеспечения безопасности персональных данных (далее – "Политика") является основополагающим внутренним документом ООО «АЙ-ЭС-ДЖИ» (далее – "Компания"), определяющим ключевые направления его деятельности в области обработки и обеспечения безопасности персональных данных (далее – "ПДн"), оператором которых является Компания.
1.2 Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», подзаконными актами к нему и Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее совместно именуемые «применимое законодательство в области обработки и обеспечения безопасности ПДн»).
1.3 Действие настоящей Политики распространяется на всех работников Компании вне зависимости от их должности, в том числе на работников с полной и частичной занятостью, с момента введения Политики в действие.
1.4 Организационные, распорядительные и локальные нормативные акты Компании не должны противоречить настоящей Политике.
1.5 Настоящая Политика доводится до сведения всех работников Компании под подпись и размещается на корпоративном вебсайте Компании (если применимо). Политика является общедоступным документом, который может предоставляться без ограничений всем заинтересованным сторонам.
1.6 Период актуализации настоящей Политики составляет 3 года, а до истечения этого срока – в случаях изменений в процессах обработки ПДн и (или) изменений применимого законодательства в области обработки и обеспечения безопасности ПДн, которые затрагивают положения Политики. Актуализация имеет целью приведение в соответствие определенных Политикой положений реальным условиям и текущим требованиям применимого законодательства в области обработки и обеспечения безопасности ПДн.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
В настоящей Политике использованы следующие термины и сокращения:
2.1 Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2 Контрагент – физическое или юридическое лицо, с которым Компания вступает в гражданские правовые отношения в процессе заключения и исполнения договоров.
2.3 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.10 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.11 Специальные категорий персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
2.12 Платформа "TeamPulse" - программное обеспечение "Программная платформа для проведения и геймификации онлайн и офлайн мероприятий TeamPulse" (реестровая запись №15642 от 25.11.2022 г. о включении в Реестр российского программного обеспечения).

3. ОБЩИЕ ПОЛОЖЕНИЯ
3.1 Политика разработана в целях реализации требований применимого законодательства в области обработки и обеспечения безопасности ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Компании.
3.2 Настоящая Политика определяет цели и принципы в области обработки и обеспечения безопасности ПДн и устанавливает официально выраженные руководством Компании намерения и обязательства в указанной области.
3.3 Цели Компании в области обработки и обеспечения безопасности ПДн:
— Рассмотрение резюме и подбор кандидатов на вакантную должность для дальнейшего трудоустройства в Компанию;
— Заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и работодателем;
— Исполнение работодателем обязательств, предусмотренных трудовыми договорами;
— Исполнение работодателем обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами (в том числе выполнение решений судов и иных государственных органов);
— Предоставление информации в государственные внебюджетные фонды (Пенсионный фонд, Фонд социального страхования, Фонд обязательного медицинского страхования) и другие государственные учреждения в соответствии с требованиями законодательства;
— Предоставление работникам Компании и членам их семей дополнительных гарантий и компенсаций, в том числе, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
— Предоставление транспорта работникам Компании;
— Предоставление корпоративной связи работникам Компании;
— Анализ дебиторских задолженностей работников Компании;
— Проведение годовой оценки труда работников Компании;
— Продажа услуг, работ, товаров Компании для личного использования работникам Компании;
— Оказание помощи в оформлении визы;
— Планирование реализации проектов Копании;
— Заключение, сопровождение, изменение, расторжение гражданско-правовых договоров, которые являются основанием для возникновения или прекращения отношений между субъектом ПДн и Компанией;
— Исполнение Компанией обязательств, предусмотренных гражданско-правовыми договорами;
— Заключение и исполнение условий по договору;
— Ведение и управление возможными проектами (планирование, сроки предоставления услуг и пр.);
— Определение правил коммуникации и коммуникация в рамках проекта;
— Ведение базы данных клиентов Компани;
— Осуществление логистики, импорта и дистрибьюции товаров;
— Организация продаж услуг, работ, продукции Компании;
— Проведение аналитики продаж услуг, работ, продукции Компании;
— Проведение рекламных акций и презентаций;
— Анализ и адаптация маркетинговых стратегий;
— Ведение базы данных Компании;
— Оценка результатов деятельности проектных групп;
— Проведение тендеров, конкурсов и участие в тендерах;
— Регистрация на веб-сайтах и в мобильных приложениях Компании (если применимо);
— Обеспечение работы сервисов веб-сайтов и мобильных приложениях Компании (если применимо);
— Сбор статистики посещения веб-сайтов и мобильных приложениях Компании (если применимо);
— Информирование о новых записях и публикациях;
— Предоставление сервисов на веб-сайтах и в мобильных приложениях Компании (если применимо);
— Получение информации о продвижении услуг, работ, товаров Компании;
— Исполнение требований, предусмотренных федеральным законодательством и иными нормативными правовыми актами;
— Предоставление скидок на услуги, работы, продукцию Компании;
— Организация бизнес-поездок для сотрудников и представителей контрагентов;
— Организация мероприятий;
— Регистрации и обработка сведений, необходимых для проведения мероприятий (профессионально организованных событий одного из следующих типов: корпоративное (праздничное, развлекательное и др.), фуршет, коктейль, fashion-событие и др.); частное; событие иного типа);
— Предоставление иных услуг, выполнение иных работ, продажа товаров контрагентам;
— Кадровый и бухгалтерский учет.
3.4 Принципы Компании в области обработки и обеспечения безопасности ПДн:
— Обработка ПДн в Компании осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только те ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Компании ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых ПДн не допускается.
— Компания предпринимает все необходимые меры для предоставления информации, относящейся к обработке ПДн, субъекту ПДн, в сжатой, открытой, понятной и легкодоступной форме на ясном и простом языке.
— При обработке ПДн в Компании обеспечивается их точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных ПДн.
— Хранение ПДн в Компании в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
— Компания обеспечивает надлежащую защиту обрабатываемых ПДн с использованием соответствующих технических или организационных мер, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения ПДн. Цели обработки, состав и содержание ПДн, а также категории субъектов ПДн, чьи данные обрабатываются в Компании, обновляются в случае их изменения.
— Компания в ходе своей деятельности может предоставлять и (или) поручать обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки ПДн другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке, предусмотренных применимым законодательством в области обработки и обеспечения безопасности ПДн.
— Компания не размещает ПДн субъекта в общедоступных источниках без его предварительного согласия.
— Компания не допускает объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
— Компания несет ответственность за соответствие своей деятельности указанным выше принципам обработки ПДн в рамках применимого законодательства в области обработки и обеспечения безопасности ПДн.

4. ПЕРЕЧЕНЬ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Компания в рамках выполнения своей деятельности может осуществлять обработку ПДн следующих категорий субъектов ПДн:
— Кандидаты на замещение вакантных должностей;
— Работники;
— Уволенные работники;
— Родственники работников;
— Представители контрагентов (в т. ч. потенциальные);
— Контрагенты/Подрядчики;
— Выгодоприобретатели по договорам;
— Учащиеся;
— Студенты;
— Законные представители;
— Другие физические лица.

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Компания в рамках выполнения своей деятельности может осуществлять обработку, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение следующих ПДн:
— Ф.И.О.;
— Фотография;
— Пол;
— Гражданство;
— Дата рождения;
— Место рождения;
— Адрес места жительства / регистрации;
— Контактная информация, в том числе адрес электронной почты, псевдоним (никнейм);
— Сведения о паспорте или ином документе, удостоверяющем личность;
— Сведения о военном билете / удостоверении гражданина, подлежащего призыву на военную службу;
— Сведения об образовании;
— Сведения об опыте работы (предыдущих местах работы);
— Сведения о трудовой деятельности;
— Сведения о семейном положении;
— Сведения о родственниках работников;
— Сведения о страховом номере индивидуального лицевого счета (СНИЛС);
— Сведения об идентификационном номере налогоплательщика (ИНН);
— Сведения о налоговых отчислениях;
— Сведения о банковских реквизитах;
— Сведения о месте работы;
— Другая информация, которую указал сам субъект.
5.2 Обработка специальных категорий ПДн, касающихся, расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.
5.3 В Компании осуществляется обработка сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные, а именно, - изображение лица, голос человека).

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 ПДн могут передаваться исключительно для внутренних административных целей провайдерам различных услуг, зарегистрированным на территории Российской Федерации на основании договора.
6.2 Передача ПДн третьей стороне осуществляется только с согласия субъекта ПДн, за исключением случаев, когда передача ПДн предусмотрена российским или иным применимым законодательством в рамках установленной законом процедуры.
6.3 Компания в ходе своей деятельности не будет осуществлять трансграничную передачу ПДн на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам.

7. ОСНОВНЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 С целью обеспечения безопасности ПДн при их обработке, а именно для предотвращения утечки ПДн, утраты конфиденциальности ПДн и несанкционированного использования ПДн, предотвращения финансовых потерь, ущерба репутации, а также любого другого экономического и социального ущерба для субъекта ПДн, Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных применимым законодательством в области обработки и обеспечения безопасности ПДн. К таким мерам относятся:
— Назначение ответственного лица за организацию обработки ПДн.
— Издание документов, определяющих политику Компании в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений применимого законодательства в области обработки и обеспечения безопасности ПДн, устранение последствий таких нарушений.
— Применение правовых, организационных и технических мер по обеспечению безопасности ПДн, выбранных по результатам оценки рисков обработки ПДн, на протяжении всего жизненного цикла информационных систем персональных данных и процессов обработки ПДн.
— Осуществление внутреннего контроля соответствия обработки ПДн применимому законодательству в области обработки и обеспечения безопасности ПДн, требованиям к защите ПДн, политике Компании в отношении обработки ПДн, локальным актам Компании.
— Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований применимого законодательства в области обработки и обеспечения безопасности ПДн, соотношение указанного вреда и принимаемых Компанией мер по обеспечению безопасности ПДн.
— Ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями применимого законодательства, локальных актов Компании в области обработки и обеспечения безопасности ПДн.
— Организация приема и обработки обращений и запросов субъектов ПДн или их законных представителей, а также осуществление контроля за приемом и обработкой таких обращений и запросов.
7.2 Меры по обеспечению безопасности персональных данных при использовании Компанией Платформы "TeamPulse".
— наличие государственной электронной регистрации Платформы "TeamPulse", а также присутствие Платформы "TeamPulse" в реестре Российского ПО;
— размещение Платформы "TeamPulse" на серверах Yandex.Cloud в Российской Федерации. Доступ к личному кабинету Yandex.Cloud предоставлен только ограниченному кругу сотрудников, чьи имена и полномочия в системе строго контролируются и администрируются единоличным исполнительным органом Компании;
— использование Managed Service for MySQL;
— использование Virtual Private Cloud;
— использование Certificate Manager;
— использование Key Management Service;
— использование Managed Service for Kubernetes и других;
— доступ к кластеру баз данных ограничен от внешней сети интернет Группами безопасности, где доступ предоставлен только ip-адресам ограниченного круга сотрудников и сервису Managed Kubernetes;
— cистема Платформы "TeamPulse" использует протокол HTTPS для защищенной передачи данных;
— для шифрования используются алгоритмы TLS и SHA2;
— против брутфорса паролей пользователей и администраторов на серверах установлен fail2ban с настройками по умолчанию;
— для защиты от DoS/DDoS используются средства защиты от Yandex.CloudYandex DDoS Protection;
— данные передаются между элементами системы приложения и базой данных по внутренней сети;
— все страницы решений на базе Платформы "TeamPulse" с непубличной информацией защищены посредством требуемой авторизации;
— в системе реализована ролевая модель доступа к системе таким образом, чтобы у пользователей были только минимально необходимые права с полным отсутствием возможности разделения прав;
— расширенные права в системе представлены только администратору Платформы "TeamPulse";
— учетные записи администраторов системы защищены паролем длиной не менее 15 символов, 3 типа символов;
— учетные записи пользователей системы защищены паролем длиной не менее 8 символов, 2 типа символов;
— при регистрации POST-данные передаются по внутренней сети, остальные обмены информацией в системе проходят в зашифрованном виде;
— формы аутентификации/авторизации защищены от индексации поисковыми системами;
— в случае неуспешной аутентификации пользователю не сообщаются конкретные причины, указывающие на отсутствие или присутствие конкретного User id в базе данных.
7.3 Компания, в случае отсутствия иных правовых оснований обработки ПДн, обязана получить явное согласие субъектов на обработку их ПДн в момент сбора ПДн. В случае, если Компания планирует осуществлять обработку ПДн с целью, несовместимой с первичной целью обработки ПДн, Компания получает отдельное согласие субъектов ПДн для планируемой цели. В случае, если ПДн получены Компанией не от субъекта ПДн, Компания оповещает субъекта о такой обработке.
7.4 В случае утечки ПДн Компания выполняет все меры, предписанные применимым законодательством в области обработки и обеспечения безопасности ПДн.
7.5 Компания осознает и подтверждает важность и необходимость обеспечения безопасности ПДн и поощряет постоянное совершенствование системы защиты ПДн, обрабатываемых в рамках осуществления деятельности Компании.

8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Компания гарантирует на безвозмездной основе следующие права субъектов ПДн:
— Право на получение информации, касающейся обработки ПДн;
— Право на отзыв согласия на обработку ПДн с последующим уничтожением ПДн;
— Право на подачу жалобы надзорным органам в случае нарушения требований применимого законодательства в области обработки и обеспечения безопасности ПДн;
— Право на уточнение неполных или неточных ПДн;
— Право на ограничение обработки и удаление ПДн;
— Право полную информацию об их ПДн и обработке этих данных;
— Право на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника Компании, за исключением случаев, предусмотренных федеральным законом;
— Право на определение своих представителей для защиты своих ПДн;
— Право на доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника Компании по их выбору;
— Право на требование об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить ПДн работника Компании он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера работник Компании имеет право дополнить заявлением, выражающим его собственную точку зрения;
— Право на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника Компании, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— Право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его ПДн;
— Иные права, предусмотренные применимым законодательством.
8.2 Компания уведомляет субъектов ПДн об их обязанности предоставлять достоверные ПДн, а также о возможных последствиях предоставления недостоверных данных.

9. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ (ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ)
9.1 Компания должна:
— Предоставлять субъекту ПДн информацию на его законные запросы и обращения, а также в других предусмотренных применимым законодательством случаях, в сроки, установленные законодательством.
— Принимать соответствующие меры по законному запросу и обращению субъекта ПДн (отзыв согласия на обработку ПДн, уточнение неполных или неточных ПДн и пр.) в сроки, установленные законодательством.
— Разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с федеральными законами.
— При сборе ПДн, в том числе посредством сети «Интернет», обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим законодательством.
— Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных применимым законодательством и принятыми в соответствии с ним нормативными правовыми актами.
— Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
— Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
— Уведомлять уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку ПДн, а также о изменении ранее предоставленных сведений в сроки, установленные применимым законодательством.
— Назначать лицо, ответственное за организацию обработки ПДн.
9.2 Компания имеет право самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных применимым законодательством в области обработки и обеспечения безопасности ПДн и принятыми в соответствии с ним нормативными правовыми актами.

10. АУДИТ И МОНИТОРИНГ В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Порядок и периодичность проведения аудита процессов обработки ПДн, а также мониторинга функционирования внедренных процедур защиты ПДн в Компании определяет ответственный за организацию обработки ПДн на основании потребности в такой деятельности.
10.2 Ответственный за организацию обработки ПДн обязан следить за соблюдением применимого законодательства в области обработки и обеспечения безопасности ПДн, повышать осведомленность работников, участвующих в процессах обработки ПДн.

11. ОТВЕТСТВЕННОСТЬ
11.1 Каждый вновь принятый работник Компании, непосредственно осуществляющий обработку ПДн, знакомится под подпись с настоящей Политикой и другими локальными актами Компании по вопросам обработки и обеспечения безопасности ПДн и обязуется их соблюдать.
11.2 Все работники должны немедленно сообщать о любых нарушениях настоящей Политики.
11.3 Несоблюдение настоящей Политики может стать основанием для дисциплинарного взыскания, в том числе увольнения, в порядке, установленным трудовым законодательством Российской Федерации.

12. КОНТАКТЫ
12.1 Компания будет рада Вашим вопросам и обратной связи о настоящей Политике. Если у Вас есть вопросы, то, пожалуйста, не стесняйтесь сообщить нам об этом любым удобным способом связи, указанным ниже.
12.2 Контакты ответственного за организацию обработки ПДн в ООО «АЙ-ЭС-ДЖИ»:
Номера контактных телефонов: +7 495 545-41-95
Почтовый адрес: 107023, РОССИЯ, Г. МОСКВА, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ СОКОЛИНАЯ ГОРА, МАЖОРОВ ПЕР., Д. 14, СТР. 4, ЭТАЖ 02, ОФИС 03
Адрес электронной почты: info@i-s-group.ru