Перечень принятых сокращений

Закон: Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 года
ИС: Информационная система
ИСПДн: Информационная система персональных данных
ПДн: Персональные данные
Компания: ООО «Лаборатория Числитель»
НСД: Несанкционированный доступ
Политика: Политика в отношении обработки персональных данных в ООО «Лаборатория Числитель»
РФ: Российская Федерация


Перечень терминов и определений

Безопасность ПДн – защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).
ИСПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн – обязательное для соблюдения Компанией или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Обезличивание ПДн – действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
ПДн – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
ПДн, разрешенные субъектом ПДн для распространения, – ПДн, доступ к которым неограниченному кругу лиц предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.
Субъект ПДн – физическое лицо, к которому относятся соответствующие ПДн.
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются бумажные носители ПДн.

1 Основные положения

Настоящая Политика в отношении обработки персональных данных в ООО «Лаборатория Числитель» (далее – Политика) подготовлена в соответствии с требованиями Федерального закона РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года (далее – Закон) и определяет позицию ООО «Лаборатория Числитель», юридический адрес: 121205, г. Москва, вн. тер. г. муниципальный округ Можайский, тер. Сколково инновационного центра, б-р Большой, д. 42, стр. 1, этаж 2, помещ. 118 (далее – Компания), в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод субъекта ПДн.
Политика начинает действовать с момента ее подписания.
Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан РФ и граждан других государств, Компания обеспечивает надежную защиту ПДн.
С учетом требований Федерального Закона № 152-ФЗ «О персональных данных» от 27.07.2006, а также других нормативных правовых актов РФ, предусматривающих случаи и особенности обработки ПДн, в Компании утверждаются внутренние нормативные документы (вносятся изменения в действующие внутренние документы), определяющие особенности обработки ПДн отдельных категорий субъектов ПДн, а также принимаются необходимые меры безопасности в отношении обрабатываемых ПДн.
Если в результате изменения законодательных и нормативных правовых актов РФ отдельные пункты настоящей Политики вступают с ними в противоречие, до момента опубликования новой редакции документа эти пункты утрачивают силу.

2 Положения политики

2.1 Субъекты ПДн

Компания осуществляет обработку ПДн следующих субъектов ПДн:
-       работники Компании;
-       уволенные работники Компании;
-       кандидаты на вакантные должности и стажировку в Компании;
-       родственники работников Компании;
-       представители контрагентов;
-       посетители сайта Компании.

2.2 Правовые основания обработки ПДн

Правовыми основаниями обработки ПДн вышеперечисленных субъектов ПДн в Компании являются:
-  Устав Компании;
-  Налоговый кодекс РФ;
-  Гражданский кодекс РФ;
-  Трудовой кодекс РФ;
- Федеральный закон № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996,
-  Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» от 21 ноября 2011 г.;
-  Федеральный закон № 53-ФЗ «О воинской обязанности и военной службе» от 28.03.1998;
-  Федеральный закон «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством» от 29.12.2006;
-  Федеральный закон № 426-ФЗ «О специальной оценке условий труда» от 28.12.2013;
-    трудовые договоры, заключаемые между работниками и Компанией;
-    договоры с контрагентами;
-    согласия работников на обработку ПДн;
-    согласия родственников на обработку ПДн;
-    согласия кандидатов на вакантные должности на обработку ПДн;
-    согласия посетителей сайта Компании на обработку ПДн.

2.3 Принципы и правила обработки ПДн

При обработке ПДн Компания придерживается следующих принципов:
-  осуществление обработки ПДн только на законной и справедливой основе;
-  распространение и раскрытие ПДн третьим лицам с согласия субъекта ПДн (если иное не предусмотрено действующим законодательством РФ);
- определение конкретных законных целей до начала обработки (в т.ч. сбора) ПДн;
- сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
-  уничтожение ПДн по достижении целей обработки или в случае утраты необходимости в достижении целей.
Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, а также биометрических ПДн. Сведения о состоянии здоровья обрабатываются только в объеме, необходимом для целей соблюдения трудового законодательства РФ. Размещение ПДн субъекта ПДн в общедоступных источниках осуществляется только с его предварительного согласия.
В случаях, установленных законодательством РФ, Компания осуществляет передачу ПДн субъектов ПДн третьим лицам (Федеральной налоговой службе, Государственному пенсионному фонду и др.).
Компания вправе поручить обработку ПДн субъекта ПДн третьим лицам с согласия субъекта ПДн (когда данное согласие необходимо в соответствии с требованиями законодательства РФ) и на основании заключаемого с этими лицами договора.
Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора (поручения Компании), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом. Для каждого такого лица в договоре определяется перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, указываются требования к защите обрабатываемых ПДн в соответствии с Законом.
В случае трансграничной передачи ПДн в страны, не обеспечивающие защиту прав субъектов ПДн, за исключением случаев, предусмотренных законодательством РФ, трансграничная передача осуществляется на основании отдельного согласия в письменной форме в соответствии с п.4 ст.9 и пп.1 п. 4 ст.12 Закона.
В целях исполнения требований действующего законодательства РФ и договорных обязательств, обработка ПДн в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПДн.
В Компании запрещено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

2.4 Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн

Субъект, ПДн которого обрабатываются Компанией, имеет право:
-  получать от Компании:
-  подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
-  сведения о правовых основаниях и целях обработки ПДн;
-  сведения о применяемых Компанией способах обработки ПДн;
- сведения о наименовании и местонахождении Компании;
- сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании Закона;
-  перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен Законом;
-  сведения о сроках обработки ПДн, в том числе о сроках их хранения;
-  сведения о порядке осуществления субъектом ПДн прав, предусмотренных Законом;
-  сведения об осуществленной или о предполагаемой трансграничной передаче данных;
-  наименование или Ф.И.О. и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
-   иные сведения, предусмотренные Законом или другими нормативно-правовыми актами РФ;
-   требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-  отозвать свое согласие на обработку ПДн;
-  требовать устранения неправомерных действий Компании в отношении его ПДн;
-  обжаловать действия или бездействие Компании в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке, в случае если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона или иным образом нарушает его права и свободы;
-  осуществлять защиту своих прав и законных интересов, в том числе требовать возмещение убытков и/или компенсации морального вреда в судебном порядке.
Компания в процессе обработки ПДн обязана:
-   предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона, с учетом ограничений, установленных в Законе;
-  разъяснить субъекту ПДн юридические последствия отказа предоставления ПДн, если предоставление ПДн является обязательным в соответствии с Законом;
-  до начала обработки ПДн (если ПДн получены не от субъекта ПДн) предоставить субъекту ПДн следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:
-   наименование и адрес оператора ПДн или его представителя;
-   цель обработки ПДн и ее правовое основание;
-   предполагаемые пользователи ПДн;
-  установленные Законом права субъектов ПДн;
-  источник получения ПДн;
-  принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему политику Компании в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- предоставить безвозмездно субъектам ПДн и/или их представителям возможность ознакомления с ПДн при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
- осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
- уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня предоставления сведений и снять блокирование ПДн в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
- прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
-       прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
-       прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн.

2.5 Требования к защите ПДн

Компания при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
К таким мерам в соответствии с Законом, в частности, относятся следующие:
-  назначение Ответственного за организацию обработки ПДн и Ответственного за обеспечение безопасности ПДн;
-  разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
-  применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
-  применение средств защиты информации;
-  учет бумажных носителей ПДн;
-  обнаружение фактов НСД к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
- восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
-  установление правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;
-  соблюдение условий, исключающих НСД к бумажным носителям ПДн и обеспечивающих сохранность ПДн;
- ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн.

2.6 Сроки обработки (хранения) ПДн

Сроки обработки ПДн субъектов ПДн, перечисленных в п. 2.1 настоящей Политики, определяются в соответствии:
- с установленными внутренними документам Компании целями обработки ПДн со сроком, указанным в согласии субъекта ПДн;
- со сроком действия договоров, стороной в которых либо выгодоприобретателем или поручителем по которым выступает субъект ПДн, и договоров, заключенных по инициативе субъекта ПДн;
-  с Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
-  со сроком исковой давности;
-  с иными требованиями законодательства РФ, внутренними нормативными и организационно-распорядительными документами Компании.
ПДн, срок обработки (хранения) которых истек, уничтожаются в соответствии с принятой в Компании процедурой, если иное не предусмотрено Законом.


2.7 Порядок получения разъяснений по вопросам обработки ПДн

Субъекты, ПДн которых обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн (в том числе отозвать свое согласие на обработку ПДн), обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения офиса Компании: 121205, г. Москва, вн. тер. г. муниципальный округ Можайский, тер. Сколково инновационного центра, б-р Большой, д. 42, стр. 1, этаж 2, помещ. 118.
В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
-  Ф.И.О. субъекта ПДн или его представителя;
-  номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
-  сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
-  подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Формы запросов приведены в приложении к настоящей Политике (Приложение 1, Приложение 2).

3 Обязанности и ответственность

Работники Компании и иные лица, состоящие в договорных отношениях с Компанией, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут гражданско-правовую, дисциплинарную, административную или уголовную ответственность в порядке, установленном законодательством РФ, трудовым договором или иным договором.
Разглашение ПДн субъекта ПДн (передача их посторонним лицам, в том числе работникам Компании, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, иными внутренними нормативными документами Компании, влечет наложение на работника, имеющего доступ к ПДн субъектов ПДн, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник Компании, имеющий доступ к ПДн субъектов ПДн и совершивший вышеуказанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Компании (п. 7 ст. 243 Трудового кодекса РФ).
Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки ПДн в Компании.

4 Заключительные положения

Настоящая Политика является локальным нормативным документом Компании.
Актуализация настоящей Политики может быть осуществлена в любом из следующих случаев:
-  по решению руководства Компании;
- при изменении законодательства РФ в области обеспечения защиты и обработки ПДн;
- в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
- при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
Все изменения в настоящий документ вносятся и утверждаются согласно установленному в Компании порядку.

Приложение 1

Форма запроса субъекта ПДн или его представителя на получение информации, касающейся обработки ПДн субъекта

Субъект персональных данных _______________________________________________________,

(Ф.И.О.)

_______________________серия ____________№ ________________выдан__________________

(вид документа, удостоверяющего личность)

________________________________________________________________________________,

(когда и кем)

проживающий(-ая) по адресу: ________________________________________________________
__________________________________________________________________________________,

находящийся в отношениях с ООО «Лаборатория Числитель» (далее – Компания) на основании ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________,

(сведения, подтверждающие факт обработки персональных данных субъекта в Компании: номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения, подтверждающие факт обработки персональных данных в Компании)

в лице представителя субъекта персональных данных (заполняется в случае получения запроса от представителя субъекта персональных данных),
__________________________________________________________________________________,

(Ф.И.О.)

_______________________серия ____________№ ________________выдан__________________

 (вид документа, удостоверяющего личность)

__________________________________________________________________________________,

(когда и кем)

проживающий(-ая) по адресу:________________________________________________________
________________________________________________________________________________,
действующий от имени субъекта персональных данных на основании
________________________________________________________________________________
________________________________________________________________________________,

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

запрашиваю информацию, касающуюся обработки моих персональных данных.
В ответе на запрос прошу указать следующее (выделить нужное):

подтверждение факта обработки персональных данных субъекта персональных данных;
правовые основания и цели обработки персональных данных субъекта персональных данных;
применяемые способы обработки персональных данных субъекта персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным субъекта персональных данных или которым могут быть раскрыты персональные данные субъекта персональных данных на основании договора с Компанией или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных субъекта персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных субъекта персональных данных;
наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных субъекта персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
другое:
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
Ответ на запрос прошу направить в установленные законодательством Российской Федерации сроки по адресу
________________________________________________________________________________
________________________________________________________________________________.


__________________________________              / _______________________________________ /

           (личная подпись)                                                                                                       (И.О. Фамилия)

«__» ____________20__ г.

Приложение 2

Форма запроса субъекта ПДн или его представителя

Субъект персональных данных, ______________________________________________________,

(Ф.И.О.)

_______________________серия ____________№ ________________выдан__________________

(вид документа, удостоверяющего личность)

__________________________________________________________________________________,

(когда и кем)

проживающий(-ая) по адресу: ________________________________________________________
________________________________________________________________________________,
находящийся(-ая) в отношениях с ООО «Лаборатория Числитель» (далее – Компания) на основании _________________________________________________________________________
________________________________________________________________________________,

(сведения, подтверждающие факт обработки персональных данных субъекта в Компании: номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения, подтверждающие факт обработки персональных данных в Компании)

в лице представителя субъекта персональных данных (заполняется в случае получения запроса от представителя субъекта персональных данных)
________________________________________________________________________________,

(Ф.И.О.)

_______________________серия ____________№ ________________выдан__________________

(вид документа, удостоверяющего личность)

__________________________________________________________________________________,

(когда и кем)

проживающий(-ая) по адресу: ________________________________________________________
________________________________________________________________________________,
действующий от имени субъекта персональных данных на основании
________________________________________________________________________________
________________________________________________________________________________,

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

в связи с __________________________________________________________________________
________________________________________________________________________________
прошу Компанию
________________________________________________________________________________________________________________________________________________________________.

Ответ на запрос прошу направить в установленные законодательством Российской Федерации сроки по адресу (или указать иной способ предоставления ответа)
________________________________________________________________________________
________________________________________________________________________________
                                              / _______________________________________________________ /

     (личная подпись)   (И.О. Фамилия)

«__»____________20__ г.