ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ФОРТЕ НАЛОГИ И ПРАВО»

(ОГРН 1157847450881, ИНН 7842084251)

  1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее – Положение) устанавливает процедуры обработки, защиты и хранения персональных данных физических лиц, реализуемые Обществом с ограниченной ответственностью «Форте Налоги и Право» (далее – Компания) с использованием средств автоматизации, без использования средств автоматизации и (или) с использованием указанных способов совместно, в том числе в информационно-телекоммуникационной сети «Интернет» по адресу: fortetaxandlaw.com  (включая все уровни указанного домена).

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от «27» июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от «27» июля 2006 года № 152-ФЗ «О персональных данных» и Федеральным законом от «13» марта 2006 года № 38-ФЗ «О рекламе».

  1. Термины и определения

2.1. Термины, употребляемые в настоящем Положении с заглавной буквы, имеют следующие значения:

2.1.1. Автоматизированная обработка персональных данных – Обработка персональных данных с помощью средств вычислительной техники;

2.1.2. Блокирование персональных данных – временное прекращение Обработки персональных данных (за исключением случаев, когда Обработка необходима для уточнения персональных данных);

2.1.3. Информация – любые сведения (сообщения, данные) независимо от формы и способа их предоставления;

2.1.4. Информационная система персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их Обработку информационными технологиями и техническими средствами;

2.1.5. Компания – общество с ограниченной ответственностью «Форте Налоги и Право» (ОГРН 1157847450881, ИНН 7842084251);

2.1.6. Конфиденциальность персональных данных – обязанность Лица, имеющего доступ к Персональным данным или Лица, осуществляющего обработку персональных данных, не раскрывать их третьим лицам и не допускать их распространения без согласия Субъекта персональных данных или наличия иного законного основания;

2.1.7. Cookie-файлы – небольшие текстовые файлы (обычно состоящие из букв и цифр), сохраняемые в памяти веб-браузера или устройства Посетителя сайта, когда Посетитель сайта посещает Сайт компании;

2.1.8. Лица, имеющие доступ к персональным данным – лица, утверждённые приказом генерального директора Компании и указанные в журнале учёта лиц, которые получили доступ к Персональным данным;

2.1.9. Лицо, осуществляющее обработку персональных данных – третье лицо, которое в интересах и по поручению Оператора персональных данных, осуществляет Обработку персональных данных в целях и способами, установленными Оператором персональных данных, на основании соглашения или иной сделки;

2.1.10. Обезличивание персональных данных – действия (операции) по Обработке персональных данных, совершаемые как с использованием средств автоматизации, так и без использования таких средств, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту персональных данных;

2.1.11. Обработка персональных данных (Обработка) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных;

2.1.12. Общедоступные персональные данные – Персональные данные, доступ неограниченного круга лиц к которым предоставлен самим Субъектом персональных данных или с его согласия;

2.1.13. Оператор – лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее Обработку персональных данных, а также определяющее цели Обработки персональных данных, состав Персональных данных, подлежащих Обработке, действия (операции), совершаемые с Персональными данными. Для целей настоящего Положения Оператором признаётся Компания;

2.1.14. Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (Субъекту персональных данных). Персональные данные могут храниться на бумажных носителях и (или) в электронном виде;

2.1.15. Посетитель сайта – физическое лицо, которое при помощи программного обеспечения ЭВМ получает доступ к Сайту компании;

2.1.16. Предоставление персональных данных – действия (операции), направленные на раскрытие Персональных данных определённому лицу или определённому кругу лиц;

2.1.17. Представитель контрагента компании – Субъект персональных данных, который действует от собственного имени, от имени и (или) по поручению контрагента компании в целях установления деловых, партнёрских и (или) иных отношений с Компанией;

2.1.18. Работник – Субъект персональных данных, с которым у Компании заключён трудовой договор согласно законодательству России;

2.1.19. Распространение персональных данных – действия (операции), направленные на раскрытие Персональных данных неопределённому кругу лиц;

2.1.20. Сайт компании – сайт в информационно-телекоммуникационной сети Интернет по адресу: fortetaxandlaw.com  (включая все уровни указанного домена, которые как функционируют на дату принятия настоящего Положения, так и запускаемые и вводимые в эксплуатацию в течение срока его действия). Сайт компании выражен в объективной форме, которая представляет собой совокупность данных и команд, предназначенных для взаимодействия Компании и Субъектов персональных данных в целях информационного взаимодействия, включая, но не ограничиваясь: в целях установления деловых и партнёрских отношений, в целях трудоустройства;

2.1.21. Соискатель на замещение вакантной должности (Соискатель вакантной должности) – Субъект персональных данных, который предоставляет Компании Персональные данные с целью трудоустройства в Компании;

2.1.22. Субъект персональных данных – физическое лицо, в отношении которого осуществляется Обработка персональных данных. Настоящее Положение обрабатывает Персональные данные с учётом цели их Обработки: Посетитель сайта компании, Представитель контрагента компании, Работник, Соискатель на замещение вакантной должности;

2.1.23. Трансграничная передача персональных данных – передача Персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

2.1.24. Уничтожение персональных данных – действия (операции), в результате которых становится невозможным восстановить содержание Персональных данных в Информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители Персональных данных.

  1. Цели и принципы Положения

3.1. Настоящее Положение вводится в целях:

  • Защиты прав и свобод Субъектов персональных данных при Обработке персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну, в том числе с использованием средств автоматизации в информационно-коммуникационной сети Интернет или (и) путём совместного использования средств автоматизации и без использования средств автоматизации;
  • Упорядочения процесса Обработки персональных данных, их защиты от неправомерных действий с ними и от их утраты;
  • Информирования Субъекта персональных данных о процессе Обработки персональных данных при взаимодействии с Компанией.

3.2. При Обработке персональных данных Компания обязана руководствоваться следующими основными принципами:

3.2.1. Обработка Персональных данных осуществляется:

  • На законной и справедливой основе (Компания при любой Обработке персональных данных основывается на нормах российского законодательства, нормах европейского законодательства, а также исходя из принципов морали и нравственности);
  • Только при наличии согласия (прямое волеизъявление; согласие, выраженное конклюдентными действиями и т. д.) Субъекта персональных данных на Обработку персональных данных;
  • Только для достижения заранее определённых конкретных целей и при условии, что содержание, объём и вид обрабатываемых Персональных данных соответствуют заявленным целям Обработки;
  • Не допускается Обработка персональных данных способами, не указанными в настоящем Положении;
  • Не допускается объединение баз данных, которые содержат Персональные данные, Обработка которых осуществляется в целях не совместимых между собой;
  • Компания обеспечивает точность, достаточность, а в необходимых случаях и актуальность обрабатываемых Персональных данных;
  • Персональные данные уничтожаются или обезличиваются по достижении целей их Обработки, а также при утрате необходимости в достижении цели Обработки или при выявлении неполноты / неточности Персональных данных;
  • Хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели Обработки этих данных или в случаях, установленных законодательством России.
  1. Категории Персональных данных

4.1. Компания осуществляет Обработку персональных данных следующих Субъектов персональных данных:

  • Работник;
  • Представитель контрагента компании;
  • Соискатель на замещение вакантной должности;
  • Посетитель сайта.

4.2. В зависимости от тяжести последствий, связанных с нарушением прав Субъекта персональных данных, выделяются следующие категории Персональных данных:

  • Персональные данные, отнесённые Федеральным законом от «27» июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) к специальным категориям Персональных данных;
  • Персональные данные, отнесённые Законом о персональных данных к биометрическим Персональным данным;
  • Персональные данные, отнесённые Законом о персональных данных к общедоступным или обезличенным Персональным данным.

4.2.1. Посетитель сайта предоставляет Компании по своему желанию следующие Персональные данные:

  • Фамилия, имя, отчество;
  • Номера телефонов (мобильного и домашнего) в случае их регистрации на указанного Субъекта персональных данных или по адресу его регистрации;
  • Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Компанию.

4.2.2. Соискатель вакантной должности предоставляет по своему желанию следующие Персональные данные:

  • Фамилия, имя, отчество;
  • День, месяц, год и место рождения;
  • Номера телефонов (мобильного или домашнего) в случае их регистрации на Субъекта персональных данных или по адресу его регистрации;
  • Информация об образовании;
  • Информация об опыте работы;
  • Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Компанию.

4.2.3. Представитель контрагента компании предоставляет по своему желанию следующие Персональные данные:

  • Фамилия, имя, отчество;
  • Адрес электронной почты;
  • Номера телефонов (мобильного или рабочего);
  • Информация о занимаемой должности в компании контрагента;
  • Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Компанию.

4.2.4. Работник предоставляет следующие Персональные данные:

  • Фамилия, имя, отчество;
  • Адрес проживания (регистрации);
  • День, месяц, год и место рождения;
  • Паспортные данные;
  • Информация о гражданстве;
  • Номер ИНН;
  • Номер СНИЛС;
  • Адрес электронной личной почты;
  • Информация об образовании;
  • Информация об опыте работы;
  • Информация о семейном положении, информация о наличии детей;
  • Информация о судимости;
  • Деловые и иные личные качества.

4.3. Персональные данные в объёме, указанном в п. п. 4.2.1 – 4.2.4., предоставляются непосредственно Субъектом персональных данных. В случае если Персональные данные передаются третьим лицом, то Компания имеет право запросить у третьего лица Информацию о том, на каком основании передаются Персональные данные.

4.4. Персональные данные, указанные в п. п. 4.2.1 – 4.2.4., признаются достоверными до тех пор, пока их достоверность не будет опровергнута любым законным способом.

4.5. Если Информация, предоставленная Субъектом персональных данных, не позволяет установить прямо или косвенно лицо, а равно Субъекта персональных данных, то указанное Положение не применяется.

4.6. Сайт компании использует следующие Cookie-файлы:

4.6.1. необходимые Cookie-файлы (necessary cookies): направлены на удобное использование Сайта компании и позволяют реализовывать основные функции Сайта компании, такие как навигация по страницам и доступ к защищённым разделам Сайта компании. Сайт компании не может нормально функционировать без указанных Cookie-файлов. Необходимые Cookie-файлы собирают Информацию в объёме, не позволяющем классифицировать указанную Информацию в качестве Персональных данных. Указанные Cookie-файлы являются обязательными и не могут быть отключены Посетителем сайта;

4.6.2. маркетинговые Cookie-файлы (marketing cookies): отслеживают перемещение Посетителя сайта по Сайту компании и позволяют Сайту компании показывать релевантные страницы Сайта компании Посетителю сайта;

4.6.3. статистические Cookie-файлы (statistics cookies): помогают Компании понять, как Посетители сайта взаимодействуют c ним. Статистические Cookie-файлы собирают и сообщают информацию о поведении на Сайте компании.

4.7. Сайт компании использует сторонние сервисы для оценки посещаемости Сайта компании и анализа поведения Посетителей сайта, а именно Google Analitics и Яндекс.Метрика.

4.8. Посетители сайта имеют возможность отключить Cookie-файлы, указанные в п. п. 4.6.2., 4.6.3.

  1. Цели Обработки персональных данных

5.1. Цели Обработки персональных данных по правилам настоящего Положения различаются в зависимости от вида Субъекта персональных данных, указанного в п. 4.1. настоящего Положения.

5.1.1. Обработка персональных данных Представителей контрагентов компании осуществляется в целях:

  • Установления деловых, партнёрских и (или) иных отношений между Компанией и контрагентом, в том числе оказания услуг как со стороны Компании, так и со стороны контрагента Компании; и (или)
  • Поддержания деловых, партнёрских и (или) иных отношений между Компанией и контрагентом, в том числе оказания услуг как со стороны Компании, так и со стороны контрагента Компании; и (или)
  • Информационного обмена в процессе взаимодействия между Компанией и Представителем контрагента компании; и(или)
  • Привлечения внимания к услугам Компании, в том числе путём направления информационных сообщений; и (или)
  • Получения отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Компании.

5.1.2. Обработка персональных данных Посетителей сайта осуществляется в целях:

  • Установления деловых, партнёрских и (или) иных отношений между Посетителем сайта и Компанией; и (или)
  • Поддержания деловых, партнёрских и (или) иных отношений между Посетителем сайта и Компанией; и (или)
  • Информационного обмена в процессе взаимодействия между Компанией и Посетителем сайта компании; и(или)
  • Привлечения внимания к услугам Компании, в том числе путём направления информационных сообщений; и(или)
  • Получения отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Компании.

5.1.3. Обработка персональных данных Соискателя на замещение вакантной должности осуществляется в целях:

  • Установления соответствия информации о Соискателе на замещение вакантной должности квалификационным требованиям вакантной должности, заявленными Компанией; и (или)
  • Рассмотрения вопроса о трудоустройстве Соискателя на замещение вакантной должности, а равно о заключении трудового договора с Соискателем на замещение вакантной должности.

5.1.4. Обработка персональных данных Работника осуществляется в целях:

  • Исполнения обязанностей Компании по трудовому договору с Работником, в том числе оплата труда, а также исполнения обязанностей, установленных действующим законодательством России, в том числе исполнение обязанности налогового агента Работника;
  • Содействия в трудоустройстве;
  • Продвижения по службе;
  • Обучения Работника;
  • Направления Работника в служебные командировки;
  • Направления Работника на мероприятия (семинары, встречи), которые прямо или косвенно относятся к видам услуг, оказываемых Компанией;
  • Обеспечения личной безопасности Работника;
  • Контроля количества и качества выполняемой работы;
  • Обеспечения сохранности имущества.
  1. Согласие на Обработку персональных данных

6.1. Обработка персональных данных допускается только при наличии на то согласия Субъекта персональных данных (далее – Согласие). Согласие даётся Субъектом персональных свободно, своей волей и в своём интересе. Оно должно быть конкретным, информированным и сознательным и совершено в любой позволяющей подтвердить факт его получения форме, включая:

  • Письменную форму на бумажном носителе,
  • Устно (или путём совершения конклюдентных действий) или
  • Письменную форму в виде электронного документа, или
  • Проставления отметки в соответствующей строке на Сайте компании (приравнивается к письменной форме).

Форма Согласия для отдельных категорий Субъектов персональных данных установлена в Приложении № 1 и Приложении № 2 к настоящему Положению. Если Согласие было получено Компанией до введения в действие настоящего Положения, то оно считается действительным.

6.2. Компания осуществляет Обработку персональных данных с учётом требований к форме Согласия по каждой категории Персональных данных, установленных Законом о персональных данных.

6.3. В случае получения Согласия от третьего лица (представителя Субъекта персональных данных) Компания обязана проверить полномочия данного представителя на дачу такого Согласия.

6.4. Субъект персональных данных вправе в любой момент отозвать своё Согласие, сообщив об этом Компании в письменной форме:

6.4.1. В случае использования электронной почты Субъект персональных данных обязан направить заявление об отзыве своего Согласия с адреса электронной почты, который принадлежит Субъекту персональных данных. В случае использования адреса электронной почты, который не принадлежит Субъекту персональных данных или о которой Компании достоверно не известно, что она принадлежит Субъекту персональных данных, Субъект персональных данных обязан направить сканированное требование об отзыве Согласия с подписью Субъекта персональных данных.

6.4.2. В случае подачи заявления об отзыве своего Согласия через третье лицо, третье лицо должно представить доверенность или иной документ, подтверждающий полномочия третьего лица по подаче заявления об отзыве Согласия Субъекта персональных данных.

6.5. Лица, имеющие доступ к Персональным данным, обязаны удостовериться в получении Согласия на Обработку персональных данных при взаимодействии с Субъектами персональных данных. Принимая во внимание особенности работы с Субъектами персональных данных, Лицам, имеющим доступ к персональных данным, рекомендуется:

6.5.1. При получении Персональных данных Представителей контрагентов от третьих лиц удостовериться, что у таких третьих лиц имеется Согласие, в том числе для передачи этих данных в адрес Компании;

6.5.2. В случае если третьи лица, предоставившие Компании Персональные данные Представителей контрагентов, уклоняются от передачи полученного ими Согласия, либо если такое Согласие не предполагает передачу Персональных данных Представителей контрагентов в адрес Компании, либо если такое Согласие третьими лицами получено не было, Компания обязана самостоятельно получить у таких Представителей контрагентов Согласие до начала Обработки персональных данных;

6.6. Согласие предполагает разрешение, а в целом согласие Субъекта персональных данных на получение от Компании информационных или рекламных писем Компании по электронной почте. В любой момент Субъект персональных данных имеет право отказаться от получения указанных писем, а равно отозвать своё Согласие.

6.7. Сайт компании предусматривает возможность направления Субъектами персональных данных отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Компании через форму обратной связи, предполагающей предоставление указанными Субъектами своих Персональных данных Компании.

6.8. С целью получения Согласия Субъектов персональных данных форма для обратной связи, размещённая на Сайте компании, содержит ссылку на настоящее Положение для ознакомления с ним, а также отдельную строку, в которой Субъект персональных данных должен проставить отметку о даче своего Согласия. Проставление указанной отметки означает, что Субъект персональных данных даёт своё Согласие на Обработку персональных данных в целях и всеми способами, предусмотренными пунктами 5 и 10 настоящего Положения.

6.9. Отказ Субъекта персональных данных от проставления указанной отметки означает, что Компания не вправе обрабатывать его Персональные данные, а подготовленное им с использованием формы для обратной связи сообщение в адрес Компании не будет сохранено и передано Компании.

6.10. В случае если Субъект персональных данных сделал свои Персональные данные общедоступными (Общедоступные персональные данные) путём размещения Персональных данных в Интернете, в том числе на сайте для поиска работы, то получение Компанией Согласия не требуется.

  1. Права и обязанности Субъекта персональных данных

7.1. Субъект персональных данных имеет право на:

7.1.1. Обращение к Компании самостоятельно или через третье лицо (уполномоченного представителя) с запросом и бесплатное получение на его основании полной информации, касающейся перечня и условий Обработки Компанией его Персональных данных, не чаще чем раз в месяц.

Указанный в настоящем пункте запрос должен содержать:

  • Информацию, позволяющую установить личность Субъекта персональных данных или его представителя (паспортные данные Субъекта персональных данных);
  • Сведения, подтверждающие участие Субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом указывающие на факт Обработки персональных данных Оператором, подпись Субъекта персональных данных или его представителя.

7.1.1.1. Данные, которые передаются в рамках указанного запроса, хранятся 1 (один) месяц в целях контроля количества запросов по предмету, установленному в настоящем пункте, и уничтожаются по истечении 1 (одного) месяца.

7.1.1.2. В случае если Оператор персональных данных в течение 3 (трёх) рабочих дней после получения указанного запроса установит, что данные, указанные в запросе, не являются достоверными, в том числе не позволяют установить факт Обработки Оператором Персональных данных, указанных в запросе, Оператор уничтожает данные, поступившие к нему в рамках запроса, и уведомляет лицо, обратившееся к нему за информацией, указанной в настоящем пункте, о невозможности установить наличие отношений по Обработке персональных данных между Оператором и Субъектом персональных данных.

7.1.1.3. Ответ по запросу о полной информации, касающейся перечня и условий Обработки персональных данных и/или уведомление о невозможности установить наличие отношений по Обработке персональных данных между Оператором и Субъектом персональных данных направляется при помощи того средства связи, с помощью которого был отправлен запрос в Компанию.

7.1.2. Требовать от Компании уточнения, блокировки и уничтожения его Персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки персональных данных;

7.1.3. Требовать от Компании извещения всех лиц, которым ранее были сообщены неполные, устаревшие или неточные Персональные данные, обо всех произведённых в них уточнениях, если такие действия затрагивают исполнения сделок, обязанностей по законодательству России;

7.1.4. Применительно к Персональным данным оценочного характера, если их уточнение, блокировка или уничтожение невозможны, Субъект персональных данных имеет право дополнить их заявлением, выражающим его собственную оценку этих данных.

7.2. Субъект персональных данных обязан:

7.2.1. Предоставлять Компании достоверные Персональные данные;

7.2.2. Своевременно сообщать Компании об изменении (уточнять и дополнять) своих Персональных данных;

7.2.3. Если Субъект персональных данных нарушит положения пунктов 7.2.1. и 7.2.2., то Оператор персональных данных имеет право потребовать возмещение убытков, причинённых действиями (бездействиями) Субъекта персональных данных.

  1. Права и обязанности Компании

8.1. Компания обязана:

8.1.1. Ознакомить Субъекта персональных данных с настоящим Положением путём неограниченного доступа к настоящему Положению: размещение на Сайте компании и в офисе Компании по адресу её регистрации;

8.1.2. Обрабатывать Персональные данные только при наличии на то Согласия Субъекта персональных данных, которое может быть предоставлено, в том числе в письменной форме, в электронной форме;

8.1.3. При получении от Субъекта персональных данных отзыва его Согласия Компания обязана прекратить Обработку его Персональных данных и (или), если их сохранение более не требуется для целей Обработки, – уничтожить эти Персональные данные в течение 30 (тридцати) дней с момента получения такого отзыва;

8.1.4. Разъяснить Субъекту персональных данных юридические последствия его отказа от дачи Согласия, когда Обработка его персональных данных является обязательной в силу требований законодательства России;

8.1.5. Все Персональные данные Компания обязана получать лично у Субъекта персональных данных или от уполномоченного представителя Субъекта персональных данных. Если это невозможно, то Персональные данные могут быть получены у третьей стороны − о чём Компания обязана уведомить Субъекта этих персональных данных заранее и получить у него на это письменное Согласие;

8.1.6. Компания не имеет права осуществлять Обработку о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, биометрические Персональные данные, данные о состоянии здоровья, интимной жизни Субъекта персональных данных за исключением случаев, установленных настоящим Положением, и случаев, когда Обработка таких Персональных данных необходима для достижения цели такой Обработки;

8.1.7. При принятии решений, затрагивающих интересы Субъекта персональных данных, Компания не имеет права основываться на его Персональных данных, полученных исключительно в результате их Автоматизированной обработки. В любом случае результат Автоматизированной обработки должен быть проверен лицом, в чью компетенцию входит принятие решения по конкретному Субъекту персональных данных;

8.1.8. Обеспечить Субъекту персональных данных непосредственно в момент обращения или в течение 30 (тридцати) дней с момента получения от него письменного запроса свободный и бесплатный доступ для ознакомления со всеми его Персональными данными вне зависимости от места их хранения или этапа Обработки;

8.1.9. При сборе Персональных данных Субъектов персональных данных, являющихся гражданами России, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных с использованием баз данных, находящихся на территории России;

8.1.10. Компания вправе передавать Персональные данные на территорию иностранного государства (трансграничная передача), только если на территории этого государства обеспечивается адекватная защита прав Субъектов персональных данных;

8.1.11. Компания вправе передавать Персональные данные на территорию иностранных государств, в которых не обеспечивается адекватная защита Персональных данных, только при наличии Согласия на то Субъекта персональных данных;

8.1.12. При получении от Субъекта персональных данных сведений, которые подтверждают, что ранее предоставленные Компании Персональные данные являются неполными, неактуальными или незаконно полученными Компания в течение 7 (семи) рабочих дней вносит в эти Персональные данные изменения, а в случае незаконного получения – уничтожает их и незамедлительно информирует об этом Субъекта персональных данных и третьих лиц, которым были переданы Персональные данные этого Субъекта;

8.1.13. При выявлении Компанией или самим Субъектом персональных данных неточных Персональных данных Компания обязана незамедлительно блокировать их Обработку и запросить у Субъекта персональных данных уточнение по этому вопросу. При получении уточнений Компания обязана в течение 7 (семи) рабочих дней внести в эти Персональные данные уточнения и снять блокировку;

8.1.14. При выявлении Компанией или самим Субъектом персональных данных неправомерной Обработки Компанией его Персональных данных Компания обязана незамедлительно блокировать их Обработку и в течение 3 (трёх) рабочих дней прекратить их Обработку либо, когда такое прекращение Обработки невозможно, уничтожить эти Персональные данные и незамедлительно проинформировать об этом Субъекта персональных данных;

8.1.15. Не позднее 30 (тридцати) дней с момента достижения целей Обработки персональных данных Компания обязана прекратить их Обработку и уничтожить их;

8.1.16. Контролировать деятельность Лица, осуществляющего обработку персональных данных, с учётом требований Закона о персональных данных, гражданско-правовой сделки. В случае нарушения обязательств Лица, осуществляющего обработку персональных данных, Компания с момента обнаружения такого нарушения обязана направить требование о прекращении неправомерных действий в отношении Персональных данных и сообщить Субъектам персональных данных о таком нарушении.

8.1.17. При заключении сделки с Лицом, осуществляющим обработку персональных данных, установить обязательство по сохранению Конфиденциальности персональных данных, а равно о порядке Обработки персональных данных, и установить ответственность в случае нарушения указанной обязанности Лицом, осуществляющим обработку персональных данных. Рекомендуется заключить соглашение об обязательстве о неразглашении персональных данных по форме, установленной в Приложении № 5 к настоящему Положению.

8.2. Компания имеет право:

8.2.1. На Обработку с учетом требований Закона о персональных данных в соответствии с целями заявленной Обработки;

8.2.2. Требовать предоставления Персональных данных в объёме, необходимой для цели Обработки. В случае отказа Субъекта персональных данных от предоставления Персональных данных Компания имеет право отказать в оказании услуги, предоставлении информации, заключении сделки и т. п.;

8.2.3. Передать Персональные данные Лицу, осуществляющего обработку персональных данных, в том числе в целях исполнения обязательства перед Субъектом персональных данных;

8.2.4 Определять список Лиц, которые имеют доступ к персональным данным, исходя из целесообразности и разумности.

  1. Лицо, ответственное за Обработку персональных данных

9.1. С целью обеспечения выполнения Компанией обязанностей, предусмотренных настоящим Положением и российским законодательством в области персональных данных, Генеральный директор Компании назначает лицо, ответственное за Обработку и хранение Персональных данных (далее – Ответственное лицо).

9.2. Ответственное лицо получает указания непосредственно от Генерального директора Компании и подотчётно исключительно ему.

9.3. Ответственное лицо выполняет, среди прочего, нижеследующие функции:

9.3.1. Осуществляет внутренний контроль над соблюдением Компанией и Работниками законодательства России о персональных данных, в том числе требований к защите персональных данных;

9.3.2. Осуществляет контроль и несёт дисциплинарную ответственность за Обработку персональных данных в соответствии с требованиями, установленными настоящим Положением и российским законодательством о персональных данных;

9.3.3. Ведёт журнал доступа и осуществляет контроль доступа к системам документального хранения и Информационным системам, содержащим Персональные данные, только теми Лицами, которые имеют доступ к персональным данным;

9.3.4. Осуществляет методическое руководство Лицами, имеющими доступ к персональным данным, в вопросах обеспечения безопасности Персональных данных, в том числе в форме инструктажа, отметки о проведении которого проставляются в соответствующем журнале;

9.3.5. Доводит до сведения Субъектов персональных данных содержание настоящего Положения и российского законодательства о персональных данных;

9.3.6. Организовывает приём и обработку обращений и запросов Субъектов персональных данных или их представителей и осуществляет контроль за приёмом и обработкой таких обращений и запросов;

9.3.7. Организует безопасное хранение Персональных данных на бумажных носителях;

9.3.8. Организует защиту Информационных систем персональных данных, своевременное выявление и устранение угроз в работе этих Информационных систем, а также не реже 1 (одного) раза в течение календарного года проводит анализ состояния защиты Информационных систем на предмет соответствия требованиям настоящего Положения и российского законодательства;

9.3.9. При организации защиты Информационных систем персональных данных обеспечивает использование средств защиты информации, прошедших процедуру оценки соответствия требованиям российского законодательства в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз этим Информационным системам;

9.3.10. Организует контроль и контролирует физическую сохранность средств и оборудования Информационных систем персональных данных, а также бумажных носителей персональных данных;

9.3.11. Контролирует соблюдение пользователями Информационных систем персональных данных введённого режима безопасности и парольной политики;

9.3.12. Осуществляет контроль над выполнением иных мер по обеспечению безопасности Персональных данных при их обработке, в том числе порядок восстановления Персональных данных.

9.4. Ответственное лицо несёт ответственность за реализацию необходимого и достаточного уровня защиты Персональных данных и выполнение Компанией и Работниками мер по защите Персональных данных.

9.5. Требования Ответственного лица, связанные с выполнением своих должностных обязанностей, обязательны для исполнения всеми Лицами, имеющими доступ к персональным данным.

  1. Способы и общие правила Обработки персональных данных

10.1. Компания обрабатывает Персональные данные следующими способами:

10.1.1. С использованием средств вычислительной техники и автоматизации (Автоматизированная обработка персональных данных);

10.1.2. Без использования средств вычислительной техники и автоматизации. Обработка персональных данных не может быть признана Автоматизированной обработкой персональных данных только на том основании, что обрабатываемые Персональные данные содержатся в Информационной системе персональных данных либо были извлечены из неё;

10.1.3. Обработка персональных данных, содержащихся в Информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с Персональными данными, как использование, уточнение, распространение, уничтожение Персональных данных осуществляются при непосредственном участии человека.

10.2. При Обработке персональных данных Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.

10.3. Для обеспечения безопасности Персональных данных и выполнения Компанией обязанностей, предусмотренных настоящим Положением и российским законодательством о персональных данных, Компания, среди прочего, принимает следующие меры:

10.3.1. Назначает Ответственное лицо;

10.3.2. Обновляет настоящее Положение и приводит его в соответствие с требованиями российского законодательства о персональных данных по мере изменения этого законодательства;

10.3.3. Определяет угрозы безопасности Персональных данных при их Обработке;

10.3.4. Устанавливает правила доступа к Персональным данным, а также обеспечивает регистрацию доступа к Персональным данным;

10.3.5. Применяет организационные и технические меры по обеспечению безопасности Персональных данных при их Обработке, включая:

  • Устанавливает системы и программное обеспечение, препятствующее проникновению в Информационную систему персональных данных (антивирусные программы, firewall и прочее);
  • Ведёт учёт машинных и материальных носителей Персональных данных с присвоением им уникальных идентификационных номеров;
  • Минимизирует права доступа: доступ к Персональным данным предоставляется только Ответственному лицу и Лицам, имеющим доступ к таким данным, только в объёме, необходимом для выполнения их должностных обязанностей;
  • Ограничивает доступ в помещения Компании, в которых размещены ресурсы Информационной системы персональных данных (помещения с серверами и прочее) или хранятся Персональные данные на материальных носителях;
  • Представители технических, обслуживающих и других вспомогательных служб, а также Субъекты персональных данных, не являющиеся Лицами, имеющими доступ к персональным данным, при работе в помещениях, где расположены Информационные системы персональных данных или материальные носители Персональных данных, а также при ознакомлении со своими Персональными данными, хранящимися в этих Информационных системах или на материальных носителях, находятся в этих помещениях только в присутствии Ответственного лица;
  • Отслеживает факты несанкционированного доступа к Персональным данным и принимает необходимые меры по предотвращению в дальнейшем такого доступа;
  • Организует хранение Персональных данных обособленно от иной Информации;
  • Использует отдельные материальные носители для неавтоматизированной Обработки каждой категории Персональных данных;
  • Обеспечивает применение информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
  • Восстанавливает Персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
  • Обеспечивает раздельную Обработку персональных данных при несовместимости целей Обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять Обработку персональных данных отдельно от других зафиксированных на том же носителе Персональных данных.

10.3.6. Оценивает эффективность принимаемых мер по обеспечению безопасности Персональных данных и проводит аудит соответствия Обработки персональных данных в Компании требованиям настоящего Положения и российского законодательства о персональных данных.

  1. Хранение, доступ и уничтожение Персональных данных

11.1. Персональные данные хранятся:

  • На материальных носителях, хранящихся в специально отведённом и запираемом на ключ железном шкафу (сейф), доступ к которому предоставлен только отдельным Лицам, имеющим доступ к персональным данным;
  • В электронном виде в бухгалтерской программе «1С» для проведения взаиморасчётов между контрагентами Компании, доступ к которой имеют только отдельные Лица, имеющие доступ к персональным данным;
  • В электронном виде на персональном компьютере Генерального директора Компании, Лиц, имеющих доступ к персональным данным и Работников Компании, непосредственно взаимодействующих с Контрагентами компании или их представителями.

11.2. Доступ к Персональным данным Контрагентов компании или их представителей имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

  • Генеральный директор;
  • Партнёр;
  • Советник;
  • Старший юрист;
  • Юрист;
  • Офис-менеджер;
  • Менеджер по маркетингу;
  • Финансовый менеджер;
  • Младший юрист.

11.3. Доступ к Персональным данным Соискателей на замещение вакантной должности имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

  • Генеральный директор;
  • Партнёр;
  • Офис-менеджер;
  • Менеджер по маркетингу;
  • Финансовый менеджер.

11.4. Доступ к Персональным данным Работников имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

  • Генеральный директор;
  • Партнёр;
  • Финансовый менеджер;
  • Лицо, осуществляющее обработку персональных данных.

11.5. Доступ к персональным компьютерам Лиц, имеющих доступ к персональным данным, строго ограничен: каждый их компьютер защищён паролем и оснащён сертифицированной антивирусной защитой. Пароли устанавливаются Ответственным лицом или системным администратором Компании и сообщаются индивидуально Лицам, имеющим доступ к персональным данным.

11.6. Лица, имеющие доступ к персональным данным, при работе с Персональными данными принимают на себя обязательство о неразглашении этих Персональных данных и обеспечивают:

  • Хранение Персональных данных, исключающее доступ к ним третьих лиц;
  • Недопущение оставления на рабочем столе документов, содержащих Персональные данные, при отсутствии самого Лица, имеющего доступ к персональным данным, за этим рабочим столом;
  • Блокирование на время своего отсутствия персонального компьютера, на котором хранятся Персональные данные;
  • Исполнение иных мер, указанных в обязательстве о неразглашении.

11.7. Хранение Персональных данных в Компании осуществляется не дольше, чем этого требуют цели Обработки персональных данных. Исключение составляют случаи, когда сроки хранения Персональных данных предусмотрены российским законодательством, включая:

11.7.1. При исполнении Компанией обязанности налогового агента – хранение документов, необходимых для исчисления, удержания и перечисления налога, не менее 4 лет;

11.7.2. При выполнении требований Закона о бухгалтерском учёте – хранение бухгалтерской документации не менее 5 лет.

11.8. Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя (например, путём помещения в шредер) или посредством вычёркивания (вымарывания и т. п.) Персональных данных. Работники не вправе выбрасывать бумажные носители Персональных данных, предварительно не уничтожив их.

11.9. Уничтожение Персональных данных с машиночитаемых носителей производится способом, исключающим возможность использования и восстановления Персональных данных (включая уничтожение резервных копий).

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

12.1. Ответственное лицо, Лица, имеющие доступ к персональным данным, а также Работники Компании несут ответственность за виновное нарушение требований настоящего Положения в форме дисциплинарной, материальной, административной, гражданско-правовой или уголовной ответственности в порядке и на условиях, предусмотренных российским законодательством.

12.2. Компания вправе прекратить трудовые отношения с Работником в случае виновного и повторного нарушения положений настоящего Положения.

  1. Заключительные положения

13.1. Настоящее Положение вступает в силу с даты его утверждения Генеральным директором и доводится до сведения каждого Работника Компании под роспись.

13.2. Незнание настоящего Положения не освобождает Работников от ответственности за его несоблюдение.

13.3. Контроль за исполнением настоящего Положения возлагается на Ответственное лицо, назначаемое Генеральным директором Компании.

13.4. Все изменения и дополнения к настоящему Положению, а также его отмена в связи с принятием нового Положения утверждаются Генеральным директором и доводятся до сведения всех Работников Компании под роспись, а также размещаются на Официальном сайте Компании и в офисе Компании по адресу её регистрации.

13.5. Признание недействительными или не соответствующими российскому законодательству части положений настоящего Положения не влечёт недействительности прочих положений этого Положения.

13.6. Во всём, что не урегулировано настоящим Положением, Компания и Субъекты персональных данных будут руководствоваться российским законодательством.

  1. Список приложений

14.1. Форма согласия Работника на Обработку персональных данных в ООО «Форте Налоги и Право».

14.2. Форма согласия на обработку персональных данных кандидата на вакантную должность в Компании.

14.3. Форма журнала учёта Лиц, имеющих доступ к персональным данным в Компании.

14.4. Форма журнала инструктажа Лиц, имеющих доступ к персональным данным в Компании.

14.5. Форма обязательства о неразглашении персональных данных.

«Мы используем cookie файлы. Пользуясь сайтом, вы соглашаетесь с нашей Политикой конфиденциальности I agree