image

Nexign Academy

Образовательная площадка
для ИТ-компаний

Политика обработки персональных данных

1    Аннотация

Целью политики является определение основных принципов, целей, условий и способов обработки персональных данных, перечней субъектов и состава обрабатываемых в АО «Нэксайн» (далее - Организация) персональных данных, действий и операций, совершаемых с персональными данными, прав субъектов персональных данных. Политика разработана во исполнение требований Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных") в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Организации, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Организации с учетом положений Политики. Политика действует в отношении всех персональных данных, которые обрабатывает Организация. 

2    Определения, обозначения и сокращения

Номер Термин/аббревиатура Значение
1 Персональные данные любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
2 Оператор персональных данных (оператор) государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
3 Обработка персональных данных любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
4 Автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники
5 Распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц
6 Предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
7 Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
8 Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
9 Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
10 Информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
11 Трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
12 Ответственный за персональные данные работник, назначенный приказом по Организации, который отвечает за соблюдение требований законодательства РФ по обработке и защите ПД в Организации
13 Сайт

интернет-сайты Организации, расположенные по адресам: https://nexign.com/ и https://job.nexign.com/

14 Электронная коммерция деятельность по электронной покупке или продаже товаров на онлайн-сервисах или через Интернет

3    Общие положения

Настоящая политика разработана в Организации во исполнение требований ФЗ "О персональных данных" в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Политикой определяются основные принципы, цели, порядок и условия обработки персональных данных, перечни субъектов и состава обрабатываемых в Организации персональных данных, действий и операции, совершаемые с персональными данными, права субъектов персональных данных. Кроме того, при разработке настоящей политики использовались требования Общего регламента защиты персональных данных (General Data Protection Regulation, GDPR), а также учитывались (принималось во внимание) нормы зарубежного (иностранного) законодательства в области защиты персональных данных.

Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Организации, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Организации с учетом положений настоящей Политики.

Политика действует в отношении всех персональных данных, которые обрабатывает Организация.

В целях исполнения положений ФЗ "О персональных данных" настоящая политика публикуется на сайтах АО "Нэксайн" без ограничения доступа к ней.

4    Цели обработки персональных данных

Организация осуществляет обработку персональных данных в следующих целях:

  • отбор соискателей на вакантные должности Организации, ведение кадрового резерва;
  • организации кадрового учета, обеспечения исполнения норм трудового законодательства, налогового законодательства и иных нормативных актов, регулирующих права и обязанности работодателя;
  • осуществления прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом, в том числе подготовка, заключение, исполнение и прекращение договоров с контрагентами;
  • осуществление пропускного режима;
  • предоставления доступа к Сайтам, а также к закрытым разделам Сайтов, для просмотра которых требуется регистрация и иным ресурсам Организации, в том числе инструментам электронной коммерции, организации рекламных и информационных рассылок лицам, давшим свое согласие на получение рекламных и информационных материалов;
  • обработки обращений физических и юридических лиц;
  • улучшения, поддержания, обновления и повышения удобства использования Сайтов;
  • организации обратной связи, в том числе посредством отправки уведомлений, запросов и информации относительно работы Сайтов и для обработки запросов и заявлений;
  • сбор и обработка статистических данных.

Организация осуществляет сбор персональных данных только в объеме, необходимом для реализации заявленных целей.

5    Правовые основания обработки персональных данных

Персональные данные обрабатываются Организацией на основании:

  • конституции Российской Федерации;
  • гражданского кодекса Российской Федерации;
  • трудового кодекса Российской Федерации;
  • налогового кодекса Российской Федерации;
  • устава АО "Нэксайн";
  • согласия на обработку персональных данных, данного субъектом персональных данных;
  • иных нормативных правовых актов, регулирующих деятельность Организации.

6    Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1    Общие положения

Объем персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации с учетом целей обработки персональных данных, указанных в Политике. Обработка биометрических персональных данных осуществляется в Организации в соответствии с положениями ФЗ "О персональных данных".

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Организации не осуществляется.

6.2    Категории субъектов персональных данных чьи персональные данные обрабатываются:

6.2.1    Соискатели на вакантные должности, стажеры, практиканты и кандидаты на включение в кадровый резерв

  • фамилия, имя, отчество;
  • прежние фамилии;
  • дата рождения;
  • место рождения;
  • паспортные данные;
  • контактная информация (телефон, эл. почта, факс);
  • сведения об образовании;
  • сведения об опыте работы;
  • адрес регистрации и места жительства;
  • гражданство;
  • ИНН;
  • СНИЛС;
  • фотографическое изображение;
  • сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
  • сведения об образовании,
  • сведения о наличии разрешения на использование и ношение оружия,
  • сведения о финансовых обязательствах,
  • сведения о наличии автомобиля,
  • сведения о наличии недвижимого имущества,
  • сведения о семейном положении и составе семьи,
  • сведения об участии в коммерческих организациях,
  • сведения о регистрации в качестве индивидуального предпринимателя или самозанятого;
  • данные медицинских осмотров, в случаях, предусмотренных законодательством.

6.2.2    Работники и бывшие работники Организации и дочерних обществ

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • паспортные данные;
  • контактная информация (телефон, эл. почта);
  • сведения об образовании, информация о квалификации, наличии ученых степеней и званий;
  • сведения об опыте работы;
  • адрес регистрации и места жительства;
  • гражданство;
  • ИНН;
  • СНИЛС;
  • семейное положение, состав семьи;
  • номер страхового свидетельства ПФР;
  • дата перевода (увольнения);
  • сведения о доходах на предыдущих местах работы;
  • страховой стаж;
  • сведения о социальных льготах;
  • сведения о поощрениях и наградах;
  • табельный номер работника;
  • сведения о трудоспособности и о временной нетрудоспособности;
  • сведения о соблюдении режима рабочего времени;
  • сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу
  • должность;
  • номера служебных телефонов (внешних, внутренних, сотовых);
  • адреса служебной электронной почты;
  • фотографическое изображение;
  • дата приема на работу;
  • табельный номер работника;
  • сведения о наличии разрешения на использование и ношение оружия,
  • сведения о финансовых обязательствах,
  • сведения о наличии автомобиля,
  • сведения о наличии недвижимого имущества,
  • сведения о семейном положении и составе семьи,
  • сведения об участии в коммерческих организациях,
  • сведения о регистрации в качестве индивидуального предпринимателя или самозанятого;
  • данные медицинских осмотров, в случаях, предусмотренных законодательством;
  • иные персональные данные, необходимые для выполнения требований трудового и налогового законодательства.

6.2.3    Члены семьи соискателя на вакантную должность и работника

  • фамилия, имя, отчество;
  • дата рождения;
  • степень родства;
  • место работы, должность;
  • адрес регистрации;
  • иные данные, требущиеся в рамках законодательства, для получения мер социальной поддержки.

6.2.4    Работники, учредители, акционеры, участники контрагента Организации

  • фамилия, имя, отчество;
  • дата рождения;
  • паспортные данные;
  • место работы, должность;
  • адрес проживания (регистрации по месту жительства);
  • контактная информация (телефон, эл. почта, факс);
  • гражданство.

6.2.5    Физические лица - контрагенты Организации

  • фамилия, имя, отчество;
  • дата рождения;
  • паспортные данные;
  • место работы, должность;
  • адрес проживания (регистрации по месту жительства);
  • контактная информация (телефон, эл. почта, факс);
  • ИНН;
  • СНИЛС;
  • информация о банковских счетах;
  • сведения об образовании, информация о квалификации, наличии ученых степеней и званий;
  • сведения об опыте работы.

6.2.6    Посетители офисных помещений

  • фамилия, имя, отчество;
  • паспортные данные.

6.2.7    Члены совета директоров и бенефициарные владельцы

  • фамилия, имя, отчество;
  • паспортные данные;
  • место жительства;
  • дата рождения;
  • сведения об образовании;
  • сведения о должностях,занимаемых в органах управления юридических лиц;
  • сведения о владении акциями АО «Нэксайн»;
  • сведения о подконтрольных члену совета директоров, его супруге/супругу, родителям, детям, братьям (сестрам), усыновителям и усыновленным и (или) их подконтрольным лицам организациях.

6.2.8    Посетители Сайтов

  • фамилия, имя, отчество;
  • место работы, должность;
  • контактная информация (телефон, эл. почта, факс);
  • адрес регистрации индивидуального предпринимателя;
  • электронные данные (HTTP-заголовки, IP-адрес, файлы cookie);
  • дата и время использования Сайтов;
  • информация об активности во время использования Сайтов;
  • данные геолокации.

6.2.9    Лица обработка персональных данных которых была поручена Организации третьим лицом

  • В соответствии с условиями договора поручения, заключенным с третьим лицом и перечнем персональных данных, разрешенных для передачи субъектом персональных данных.

7    Порядок и условия обработки персональных данных

7.1    Общие положения

Обработка персональных данных осуществляется Организацией в соответствии с требованиями законодательства Российской Федерации.

Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено ФЗ "О персональных данных".

Обработка персональных данных в Организации осуществляется следующими способами:

  • без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

Не допускается раскрытие, распространение, передача третьями лицами персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.2    Принципы обработки персональных данных

Организация осуществляет обработку персональных данных работников Организации и иных субъектов персональных данных, не состоящих с Организации в трудовых отношениях, в соответствии со следующими принципами:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В Организации принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

7.3    Обеспечение защиты персональных данных

В целях обеспечения безопасности персональных данных Организацией разработы и реализованы необходимые правовые, организационные и технические меры, направленные на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Указанные меры обеспечения безопасности включают в себя следующее:

  • назначено лицо, ответственное за организацию обработки персональных данных в Организации;
  • издана и опубликована настоящая Политика;
  • разработаны локальные нормативные акты, регулирующие вопросы обработки и защиты персональных данных в Организации;
  • проводится ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
  • работники Организации подписывают соглашение о неразглашении ставших известным им в рамках выполнения должностных обязанностей персональных данных, а также проходят инструктаж по соблюдению правил информационной безопасности;
  • проводятся мероприятия внутреннего контроля и аудита соответствия обработки персональных данных нормам законодательства
  • определены информационные системы в которых производится обработка персональных данных, возможные угрозы безопасности персональных данных при обработке их в информационных системах;
  • разработан комплекс организационных и технических мер, обеспечивающих безопасность персональных данных при их обработке в информационных системах в зависимости от требований, предъявляемых к уровню их защищенности.

7.4    Срок обработки, хранение и условия прекращение обработки персональных данных

Условиями прекращения обработки пресональных данных Организацией являются:

  • достижение целей обработки персональных данных;
  • истечения срока действия либо отзыв согласия на обработку персональных данных в случаях, когда обработка персональных данных допускается законодательством только при наличии согласия на обработку персональных данных;
  • выявление факта неправомерной обработки персональных данных.

При достижении целей обработки персональных данных, а также в случае истечения срока действия либо отзыва согласия на обработку персональных данных, Организация прекращает обработку персональных данных если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено другими соглашениями между Организацией и субъектом персональных данных.

Хранение персональных данных, обрабатываемых в Организации осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 

Бумажные носители персональных данных хранятся в Организации в течение срока, предусмотренного Федеральным законом от 22.10.2004 №125-ФЗ "Об архивном деле в Россиской Федерации" (с дополнениями и изменениями).

8    Права и обязанности сторон

Права и обязанности субъекта персональных данных и Оператора персоналльных данных регулируются положениями ФЗ "О персональных данных"

8.1    Права и обязанности Оператора персональных данных

8.1.1    Оператор персональных данных имеет право:

  • самостоятельно определять состав и перечень правовых, организационных и технических мер, необходимых и достаточных для реализации требований ФЗ "О персональных данных", если иное не предусмотрено законодательством Российской Федерации;
  • предоставлять персональные данные третьим лицам, в случаях, когда это предусмотрено законодательством Российской Федерации;
  • с согласия субъекта персональных данных поручить обработку таких данных другому лицу на основании заключенного с этим лицом договора и в соответствии с требованиями, предъявляемыми ФЗ "О персональных данных";
  • обрабатывать персональные данные 
  • отстаивать свои интересы в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.1.2    Оператор персональных данных обязуется:

  • организовывать обработку персональных данных в соответствии с требованиями ФЗ "О персональных данных";
  • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями ФЗ "О персональных данных";
  • обеспечить субъектам персональных данных возможность ознакомиться с информацией, касающейся обработки их персональных данных.

8.2    Права и обязанности Субъекта персональных данных

8.2.1    Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, при этом указанные сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных
  • требовать у Оператора персональных данных уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

9    Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

9.1    Актуализация и исправление персональных данных

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

9.2    Действия при выявлении неправомерной обработки персональных данных

В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

  • в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
  • в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

9.3    Уничтожение персональных данных Оператором.

Условия и сроки уничтожения персональных данных Оператором:

  • достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
  • достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
  • предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
  • отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

Уничтожение персональных данных субъекта осуществляется в составе комиссии, назначенной Приказом Организации с составлением акта об уничтожении носителя персональных данных.

9.4    Ответы на запросы и обращения субъектов персональных данных

Субъекты персональных данных имеют право обратиться в Организацию для получения информации в отношении обработки их персональных данных в части:

  • подтверждения факта обработки персональных данных;
  • правовых оснований и целей обработки персональных данных;
  • применяемых Оператором способов обработки персональных данных;
  • сведений о лицах, имеющих доступ к персональным данным;
  • составе и сроках обработки персональных данных;
  • иные сведения, предусмотренные ФЗ "О персональных данных" или иными федеральными законами.

Запрос на предоставление вышеуказанных сведений должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Вышеуказанные сведения предоставляются субъекту персональных данных или его представителю Оператором в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Если в запросе не указаны все необходимые сведения или инициатор запроса не имеет права на получение запрашиваемой информации, то ему направляется мотивированный отказ в предоставлении информации.

По прочим вопросам, имеющим отношение к обработке персональных данных, но не регламентированным действующим ФЗ "О персональных данных" любое заинтересованное лицо может направить запрос в письменной форме либо по электронной почте office@nexign.com