Политика обработки персональных данных

1.Область применения

Настоящая Политика в области обработки и обеспечения безопасности персональных данных ООО "Мэнпауэр" (далее – Политика) является документом, определяющим основы деятельности ООО "Мэнпауэр" (далее – Компания, Оператор) при обработке и защите персональных данных.

Политика разработана с учетом требований законодательства Российской Федерации в области обработки и защиты персональных данных.

Политика раскрывает правовые основания обработки персональных данных (ПДн), принципы и цели такой обработки, правила обработки, сведения о принимаемых мерах защиты персональных данных, информацию о правах субъектов персональных данных.

Положения настоящей Политики являются обязательными для исполнения всеми работниками ООО "Мэнпауэр", осуществляющих обработку персональных данных.

Настоящая Политика подлежит размещению на официальном сайте ООО "Мэнпауэр".

2.Цели и принципы обработки персональных данных

2.1 Цели обработки персональных данных

Компания обрабатывает персональные данные в целях осуществления:

• заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работниками и работодателем;
• содействие работникам в обучении и карьерном росте;
• содействие в получении социальных льгот и компенсаций;
• предоставление информации по запросам государственных органов;
• исполнение обязательств по трудовым договорам;
• ведение процесса согласования договоров и выполнение требований по договорам с контрагентами;
• осуществление коммуникации с сотрудниками;
• осуществление коммуникации с поставщиками;
• информирование сотрудников о корпоративной жизни ООО "Мэнпауэр";
• содействие работникам в организации внутренних коммуникаций;
• осуществление доступа к ИТ-инфраструктуре;
• заключение, изменение, расторжение договоров добровольного медицинского страхования и страхования жизни;
• ведение других видов деятельности в рамках законодательства РФ, с обязательным выполнением требований законодательства РФ в области персональных данных.
• заключение, изменение, расторжение договоров добровольного медицинского страхования и страхования жизни;
• содействие в получении социальных льгот и компенсаций;
• рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в ООО "Мэнпауэр" и в клиентские компании;
• ведение базы данных кандидатов;
• исполнение обязательств по договорам с контрагентами;
• заключение, сопровождение, изменение, расторжение договоров;
• исполнение обязательств, предусмотренных федеральным законодательством, локальными нормативными актами и иными нормативными правовыми актами (в том числе в области охраны труда).

2.2 Объем и категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Не допускается обработка избыточных персональных данных по отношению к заявленным целям.

В информационных системах персональных данных Компании обрабатываются ПДн более чем 100 тысяч субъектов.

В информационных системах персональных данных Компании обрабатываются персональные данные следующих субъектов персональных данных:

• работники;
• родственники работников;
• кандидаты на вакантные должности;
• бывшие работники;
• контрагенты-физические лица;
• представители контрагентов-юридических лиц.

В рамках обработки персональных данных компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, предоставление доступа ограниченному кругу лиц в соответствии с действующим законодательством), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3 Принципы обработки персональных данных

С целью эффективного функционирования процессов обработки персональных данных, компания руководствуется следующими принципами:

• законность – обработка персональных данных осуществляется на законной и справедливой основе;
• ограничение целей обработки – обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей и в дальнейшем персональные данные не должны обрабатываться способами, несовместимыми с этими целями. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• минимизация обработки – содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, персональные данные являются адекватными по отношению к целям обработки;
• точность данных – в компании принимаются адекватные меры по обеспечению незамедлительного удаления или исправления персональных данных, которые являются неточными по отношению к целям их обработки;
• ограничение срока хранения – хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• конфиденциальность, целостность, доступность – персональные данные обрабатываются способом, гарантирующим обоснованный уровень их безопасности, который предполагает использование приемлемых и адекватных организационных и технических мер защиты от несанкционированной или незаконной обработки персональных данных и от случайной потери, разрушения или уничтожения данных.

3 Порядок и условия обработки персональных данных

3.1 Основания обработки персональных данных субъектов

Компания имеет право обрабатывать персональные данные в случае, если применимо одно из следующих оснований обработки:

• субъект персональных данных дал свое согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка необходима для осуществления законных интересов оператора или третьей стороны, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта персональных данных;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Форма согласия на обработку персональных данных разработана ООО "Мэнпауэр" с соблюдением принципа предоставления субъекту наиболее полной и достаточной информации в доступной форме о порядке обработке его персональных данных и включает следующую информацию:

• наименование и контактные данные компании, являющегося оператором персональных данных;
• цели выполнения конкретных операций по обработке персональных данных;
• состав или категории собираемых данных;
• наличие у субъекта права отзыва согласия;
• срок, на который дается согласие.

Лица, допущенные к обработке персональных данных, в обязательном порядке подписывают обязательство о неразглашение информации, содержащей персональные данные.

3.2 Способы обработки персональных данных

Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств в соответствии с требованиями действующего законодательства.

Обработка персональных данных осуществляется с соблюдением конфиденциальности данных.

Предоставление доступа к персональным данным регламентировано внутренними документами компании и предоставляется только тем работникам, которым персональные данные необходимы для исполнения ими трудовых обязанностей.

Компания не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании автоматизированной обработки их персональных данных.

Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, при условии обеспечения надлежащих гарантий применения соответствующих технических и организационных мер.

3.2.1 Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации

Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

ООО "Мэнпауэр", в зависимости от типа субъекта персональных данных, чьи данные обрабатываются, а также в зависимости от категории обрабатываемых данных и их количества, осуществляется определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных в соответствии с указанным выше постановлением Правительства Российской Федерации.

3.2.2 Порядок обработки персональных данных без использования средств автоматизации

Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

При неавтоматизированной обработке различных категорий персональных данных используется отдельный материальный носитель для каждой группы персональных данных.

При неавтоматизированной обработке персональных данных на бумажных носителях:

• не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
• персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
• документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), соблюдаются следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
• типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
• типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных применяются меры по обеспечению раздельной обработки персональных данных.

При хранении документов, содержащих персональные данные, соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.2.3 Трансграничная передача персональных данных

Трансграничная передача персональных данных Компанией может осуществляться в государства, являющиеся сторонами Конвенции Совета Европы, а также в иные иностранные государства, обеспечивающие адекватную защиту прав субъектов персональных данных и не обеспечивающие такую защиту.

Трансграничная передача в страны-участники Конвенции Советы Европы, а также в страны с адекватной защитой персональных данных может осуществляться без согласия субъекта персональных данных.

Трансграничная передача персональных данных субъектов в страны, не обеспечивающие адекватную защиту ПД, может осуществляться Компанией в случаях:

• наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
• исполнения условий договора, стороной которого является субъект персональных данных.

Компания обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

3.3 Условия прекращения обработки персональных данных

Компания прекращает обработку ПДн в следующих случаях:

• достижение целей обработки персональных данных или утраты необходимости в их достижении;
• отзыв согласия субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);
• получение соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.

4  Организация защиты персональных данных

Компания обеспечивает комплексную защиту персональных данных, опираясь на:

• Российское законодательство в области обеспечения безопасности персональных данных;
• характер, контекст и цели обработки персональных данных;
• процессы и масштабы обработки персональных данных;
• экономическую оценку внедрения средств и способов защиты персональных данных;
• оценку рисков вероятности и тяжести возможных последствий для субъектов персональных данных (рисков случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к передаваемым, переданным или иным образом обработанным персональным данным);

Компания при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает все необходимые правовые, организационные и технические меры.

Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

• обеспечением конфиденциальности, целостности, доступности и устойчивости систем обработки персональных данных;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер защиты;
• определением угроз безопасности персональных данных при их обработке в информационных системах;
• принятием локальных нормативных актов и иных документов, регулирующих обработку и защиту персональных данных;
• учетом машинных носителей персональных данных;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• назначением ответственного лица за организацию обработки и обеспечение безопасности персональных данных;
• выполнение регулярного тестирования, оценки эффективности технических и организационных мер обеспечения безопасности персональных данных;
• осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных законодательству Российской Федерации и законодательству Европейского союза в области обработки и защиты персональных данных;
• ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

5 . Права субъекта персональных данных

Субъект персональных данных подтверждает согласие на обработку данных путем совершения конкретного действия, которое четко указывает на то, что субъект в указанном контексте согласен на запланированную обработку своих персональных данных.

Субъект персональных данных вправе требовать от компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Субъект персональных данных вправе обжаловать действия или бездействие компании, как оператора, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

В соответствии с законодательством Российской Федерации субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые компании способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным и/или которым могут быть раскрыты персональные данные на основании договора с компании и/или на основании законодательства Российской Федерации;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению компании, если обработка поручена или будет поручена такому лицу.

Сведения предоставляются субъекту персональных данных или его представителю законными представителями компании при получении запроса субъекта персональных данных или его представителя в письменной форме.

Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в ООО "Мэнпауэр".

6 . Лицо, ответственное за организацию   данных

Назначение лица, ответственного за организацию обработки персональных данных осуществляется из числа руководителей структурных подразделений ООО "Мэнпауэр". При назначении учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовать свои права и выполнять обязанности как лица, ответственного за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных в том числе:

• организует осуществление внутреннего контроля за соблюдением ООО "Мэнпауэр" и его работников законодательства Российской Федерации в области организации обработки персональных данных;
• доводит до сведения работников ООО "Мэнпауэр" положения законодательства Российской Федерации по вопросам организации обработки персональных данных;
• организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществляет контроль над приемом и обработкой таких обращений и запросов;
• взаимодействует с регулирующими органами по вопросам обработки персональных данных субъектов.

Лицо, ответственное за организацию обработки в компании, назначается на роль приказом руководителя ООО "Мэнпауэр".

 

7. Порядок пересмотра политики и ответственность

Настоящая Политика пересматривается на регулярной основе, но не реже 1 раза в 3 года.

Внеплановый пересмотр настоящей Политики осуществляется:

• при появлении новых требований к обработке и обеспечению безопасности персональных данных, со стороны российского и европейского законодательства и контролирующих органов;
• по результатам проверок контролирующих органов, выявивших несоответствия требованиям по обеспечению безопасности персональных данных;
• по результатам внутреннего контроля (аудита) в случае выявления существенных нарушений.

Настоящая Политика действует до момента отмены или приостановления ее действия руководством ООО "Мэнпауэр".

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную и административную ответственность в соответствии с действующим законодательством и локально-нормативными актами.