ПОЛИТИКА в отношении обработки и защиты персональных данных в ООО «ПроКор ИИ»
1. Общие положения

Настоящая Политика в отношении обработки и защиты персональных данных в ООО «ПроКор ИИ» (далее – Политика) направлена на исполнение требований законодательства Российской Федерации (далее – РФ), регулирующего сферу персональных данных (далее – ПДн), и обеспечение законных прав и свобод субъектов ПДн.


Политика распространяется на все действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.


В ходе своей деятельности ООО «ПроКор ИИ» (далее – Общество) не осуществляет трансграничную передачу ПДн в иностранные государства.


Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


Если в результате изменения законодательных и нормативных правовых актов РФ отдельные пункты настоящей Политики вступают с ними в противоречие, эти пункты утрачивают силу. До момента внесения изменений в настоящую Политику работники Общества и иные лица, указанные в Политике, руководствуются законодательными и нормативно-правовыми актами РФ.

2. Нормативные документы

ООО «ПроКор ИИ» является оператором персональных данных. Правовым основанием обработки ПДн в Обществе являются:

  • Трудовой кодекс РФ;
  • Гражданский кодекс РФ;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон о ПДн);
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Термины и определения
  • Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
  • Биометрические ПДн – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются для установления личности субъекта ПДн.
  • Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
  • ИС – информационная система.
  • ИСПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
  • Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
  • Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
  • Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
  • Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
  • Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн, и (или) в результате которых уничтожаются материальные носители ПДн.
4. Цели обработки ПДн

В Обществе определены следующие цели обработки ПДн:

  • ведение кадрового и бухгалтерского учета;
  • исполнение требований законодательства РФ (в частности: Налоговый кодекс, Трудовой кодекс, «Об обязательном пенсионном страховании в Российской Федерации» и др.);
  • подготовка, заключение и исполнение гражданско-правовых договоров;
  • подбор персонала (соискателей) на вакантные должности;
  • заключение и исполнение обязательств по договорам с контрагентами/клиентами.

Обработка ПДн в Обществе выполняется следующими способами:

  • неавтоматизированная обработка ПДн;
  • автоматизированная обработка ПДн с передачей полученной информации по информационно-коммуникативным сетям или без таковой;
  • смешанная обработка ПДн.
5. Категории обрабатываемых ПДн

5.1. Обработка ПДн работников

Общество обрабатывает ПДн работников Общества в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации (далее — ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты ПДн работников.


Общество обрабатывает ПДн работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также в целях:

  • ведения кадрового и бухгалтерского учёта;
  • исполнение требований законодательства РФ, в том числе по предоставлению ПДн в органы государственной власти, в Фонда пенсионного и социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.

Общество обрабатывает ПДн работников в течение срока действия трудового договора.

Общество обрабатывает ПДн уволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами.


Общество может обрабатывать специальные категории ПДн работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».


Общество не обрабатывает биометрические ПДн работников.

Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, предусмотренных п. 2 ст. 10 Федерального закона о ПДн.


Общество не получает данные о членстве работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.


Общество обрабатывает следующие ПДн работников:

  • фамилия, имя, отчество;
  • пол;
  • гражданство;
  • тип, серия и номер документа, удостоверяющего личность;
  • дата выдачи документа, удостоверяющего личность, информация о выдавшем его органе;
  • адрес;
  • год, месяц, дата рождения;
  • место рождения;
  • номер контактного телефона;
  • семейное положение, наличие детей, данные о регистрации брака;
  • данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
  • трудовой стаж;
  • сведения о воинском учёте;
  • должность;
  • сведения о заработной плате и иных доходах и выплатах;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • сведения о водительском удостоверении (в случаях, предусмотренных законодательством);
  • данные о социальных льготах;
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства государственного пенсионного страхования;
  • адрес электронной почты;
  • специальность, профессия, квалификация;
  • страховые взносы на ОПС;
  • страховые взносы на ОМС;
  • налоговые вычеты;
  • реквизиты банковского счета;
  • табельный номер.
5.2. Обработка ПДн по договорам гражданско-правового характера

Общество обрабатывает ПДн подрядчиков по договорам гражданскоправового характера (далее – ГПХ) в рамках правоотношений с Обществом, урегулированных частью 2 Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.


Общество обрабатывает ПДн подрядчиков по договорам ГПХ в целях соблюдения норм законодательства РФ, а также в целях заключения и выполнения договоров ГПХ.


Общество обрабатывает ПДн подрядчиков по договорам ГПХ в течение срока действия заключенных с ними договоров. Общество может обрабатывать ПДн подрядчиков по договорам ГПХ после окончания срока действия заключенных с ними договоров в течение сроков, предусмотренных законодательством РФ.


Общество обрабатывает следующие ПДн подрядчиков по договорам ГПХ:

  • фамилия, имя, отчество;
  • тип, серия и номер документа, удостоверяющего личность;
  • дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;
  • адрес;
  • сведения о выплатах;
  • год, месяц, дата рождения;
  • место рождения;
  • номер контактного телефона;
  • адрес электронной почты;
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства государственного пенсионного страхования;
  • профессия;
  • страховые взносы на ОПС;
  • страховые взносы на ОМС;
  • налоговые вычеты;
  • банковские реквизиты;
  • реквизиты доверенности.
5.3. Обработка ПДн работников контрагента

Общество обрабатывает ПДн работников контрагента в рамках правоотношений с Обществом, урегулированных частью второй Гражданского Кодекса Российской Федерации.


Общество обрабатывает ПДн работников контрагента с целью заключения и исполнения обязательств по договорам с контрагентами.


Общество обрабатывает ПДн работников контрагента в течение срока действия заключенных с ними договоров.


Общество может обрабатывать ПДн работников контрагента после окончания сроков действия заключенных с ними договоров в течение срока, предусмотренного законодательством РФ.


Общество обрабатывает следующие ПДн работников контрагента:

  • фамилия, имя, отчество;
  • номер контактного телефона;
  • адрес электронной почты;
  • должность;
  • реквизиты доверенности.
5.4. Обработка ПДн соискателей

Общество обрабатывает ПДн соискателей вакантных должностей.


Общество обрабатывает ПДн соискателей с целью подбора персонала (соискателей) на вакантные должности.


Общество обрабатывает ПДн соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу Общество прекращает обработку ПДн соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 Федерального закона о ПДн.


Общество обрабатывает следующие ПДн соискателей:

  • фамилия, имя, отчество;
  • тип, серия и номер документа, удостоверяющего личность;
  • дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;
  • год, месяц, дата рождения;
  • место рождения;
  • адрес;
  • номер контактного телефона;
  • адрес электронной почты;
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства государственного пенсионного страхования;
  • сведения медицинского характера (в случаях, предусмотренных законодательством);
  • данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
  • специальность, профессия, квалификация;
  • должность;
  • сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
  • сведения о воинском учёте;
  • содержание резюме, предоставляемом соискателем как кандидатом на вакантную должность.
6. Принципы обработки ПДн

Обработка ПДн в Обществе осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. По достижении цели обработка ПДн прекращается, за исключением случаев, предусмотренных законодательством РФ;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Обеспечивается принятие необходимых мер по удалению или уточнению неполных, или неточных данных;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом о ПДн, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом о ПДн
7. Обеспечение защиты ПДн при их обработке

Безопасность ПДн, обрабатываемых в Обществе, обеспечивается принятием правовых, организационных и технических мер, определенных Положением об обработке и защите персональных данных работников ООО «ПроКор ИИ».


Обеспечение Обществом защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн достигается, в частности, следующими принятыми мерами:

  • применены организационные и технические меры безопасности ПДн, соответствующие требованиям к защите ПДн, установленные Правительством РФ к уровням защищенности ПДн;
  • осуществляется мониторинг событий информационной безопасности с целью обнаружения фактов несанкционированного доступа к ПДн и принятия предупредительных мер защиты;
  • приняты технические и организационные меры для обеспечения восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлены правила доступа к ПДн, обрабатываемым в информационных системах ПДн, а также обеспечена регистрация и учет всех действий, совершаемых с ПДн в ИСПДн;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.

Обеспечение конфиденциальности ПДн, обрабатываемых в Обществе, является обязательным требованием для всех работников Общества, допущенных к обработке ПДн в связи с исполнением трудовых обязанностей. Все работники, деятельность которых связана с получением, обработкой и защитой ПДн, подписывают обязательство о неразглашении ПДн и несут предусмотренную законодательством РФ ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн.


Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.


В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.


Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

В Обществе проводятся внутренние расследования в следующих ситуациях:

  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав Субъектов ПДн;
  • в иных случаях, предусмотренных законодательством в области персональных данных.

Работник, ответственный за организацию обработки ПДн, осуществляет внутренний контроль:

  • за соблюдением работниками, уполномоченными на обработку ПДн, требований законодательства в области персональных данных, локальных нормативных актов;
  • соответствием указанных актов требованиям законодательства в области ПДн.

Внутренний контроль проходит в виде внутренних проверок.


Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Генеральным директором Общества.


Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки ПДн. Основанием для них служит информация о нарушении законодательства в области ПДн, поступившая в устном или письменном виде.


По итогам внутренней проверки оформляется докладная записка на имя Генерального директора Общества. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.


Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав Субъектов ПДн (далее - инцидент).


В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:

  • об инциденте;
  • его предполагаемых причинах и вреде, причиненном правам Субъекта (нескольким субъектам) ПДн;
  • принятых мерах по устранению последствий инцидента;
  • представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

При направлении уведомления нужно руководствоваться порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области ПДн, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.


В течение 72 часов Общество обязано сделать следующее:

  • уведомить Роскомнадзор о результатах внутреннего расследования;
  • предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области ПДн, утвержденными Приказом Роскомнадзора от 14.11.2022 № 187.


В случае предоставления Субъектом ПДн (его представителем) подтвержденной информации о том, что ПДн являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде Субъекта ПДн (его представителя) о внесенных изменениях и сообщает о них третьим лицам, которым были переданы ПДн.


Общество уведомляет Субъекта ПДн (его представителя) об устранении нарушений в части неправомерной обработки ПДн. Уведомляется также Роскомнадзор, если он направил обращение Субъекта ПДн (его представителя) либо сам сделал запрос.


В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет Субъекта ПДн (его представителя) о принятых мерах в письменном виде. Общество уведомляет также третьих лиц, которым были переданы такие ПДн.


Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданскоправовой или уголовной ответственности в порядке, установленном федеральными законами.

8. Права субъекта ПДн

Субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Обществом;
  • правовые основания и цели обработки ПДн Обществом;
  • цели и применяемые Обществом способы обработки ПДн;
  • наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона о ПДн;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом о ПДн;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом о ПДн;
  • информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • информацию о выполнении мер, направленных на обеспечение выполнения оператором ст. 18.1 Федерального закона о ПДн;
  • иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

Доступ к указанным выше сведениям, предоставляется Субъекту ПДн или его представителю при обращении либо при получении запроса Субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись Субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Общество предоставляет сведения Субъекту ПДн (его представителю) в течение десяти рабочих дней с момента обращения. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению. Сведения предоставляются в той форме, в которой направлено соответствующее обращение (запрос), если в нем не указано иное.


Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9. Условия передачи ПДн третьим лицам и поручение обработки ПДн

В случаях, установленных законодательством РФ, Общество осуществляет передачу ПДн субъектов третьим лицам (Федеральной налоговой службе, Социальному фонду России и др.) без согласия Субъекта на обработку его ПДн.


Передача ПДн Обществом в сторонние организации в случаях, не установленных законодательством РФ, осуществляется на основании согласия субъекта на обработку ПДн.


Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом о ПДн, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. При поручении обработки ПДн соблюдаются принципы и правила обработки ПДн, предусмотренные Федеральным законом о ПДн.

10.Условия прекращения обработки ПДн

В случае достижения цели обработки ПДн Общество прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом о ПДн или другими федеральными законами.


В случае отзыва Субъектом ПДн согласия на обработку его ПДн Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества), и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий десяти дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Обществом и Субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

Made on
Tilda