Общество с ограниченной
ответственностью
«Юридическое
агентство «Эдельвейс»
620144, Российская Федерация, Свердловская
область, г. Екатеринбург, ул. Московская, д. 195, оф.
651
ОГРН 1156658030055 ИНН/КПП 6671013993/667101001
УТВЕРЖДЕНА
Приказом генерального директора
ООО «Юридическое агентство «Эдельвейс» №
28 от «01» июля
ПОЛИТИКА
обработки персональных данных
1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1.
Настоящий
документ (далее – Политика) разработан с целью установления политики ООО
«Юридическое агентство «Эдельвейс»» (далее – Общество) касаемо обработки,
использования персональных данных, их способов, принципов, применяемых в
отношении обработки персональных данных в Обществе. Одновременно целью разработки Политики обработки персональных
данных является обеспечение защиты прав и свобод субъекта персональных
данных при осуществлении операций с его персональными данными (далее – ПД),
полученными Обществом на установленных законом основаниях.
1.2.
Политика
распространяет свое действие на все операции, совершаемые в Обществе с
персональными данными.
1.3.
Политика
детализирует категории персональных данных, обрабатываемых Обществом, цели,
способы и принципы обработки Обществом персональных данных, права и обязанности
Общества при обработке персональных данных, права субъектов персональных
данных, а также включает перечень мер, применяемых Обществом в целях
обеспечения безопасности персональных данных при их обработке.
1.4.
Политика разработана в соответствии с Конституцией Российской
Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом
Российской Федерации, Федеральным законом от 27.07.2007 г. № 149-ФЗ «Об
информации, информационных технологиях и о защите информации», Федеральным
законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», постановлением
Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных
данных», иными
федеральными законами и нормативно-правовыми актами.
1.5.
Политика обязательна
для ознакомления и исполнения всеми сотрудниками/участниками Общества,
допущенными к обработке персональных данных в Обществе, и лицами, привлекаемыми
Обществом в рамках оказания последнему гражданско-правовых услуг (соисполнение Договоров на оказание юридических услуг, включая
случаи передоверия исполнения Поручений Заказчиков).
1.6.
В Обществе, наряду с
Политикой, утверждены и применяются иные документы, устанавливающие и
регламентирующие порядок обработки, обеспечения безопасности персональных
данных в соответствии с требованиями ФЗ от 27.07.2006 г. N 152-ФЗ "О персональных
данных" и принятых в соответствии с ним нормативных правовых
актов. Указанные документы подчинены положениям Политики и не противоречат им.
1.7.
Политика
является общедоступным документом.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Целями
обработки персональных данных являются:
2.1. Обеспечение соблюдения требований действующего законодательства РФ.
2.2. Оказание Обществом юридических услуг субъекту персональных данных.
2.3. Оформление и регулирование правовых отношений между субъектом персональных данных и Обществом в рамках оказания юридических услуг субъекту персональных данных.
2.4. Исчисление и уплата Обществом налоговых платежей, предусмотренных законодательством РФ.
2.5. Осуществление прав и законных интересов Общества
в рамках осуществления видов экономической деятельности, предусмотренных
Уставом и иными локальными нормативными актами.
2.6. Выполнение требований законодательства РФ в
сфере труда, ведение текущего бухгалтерского учёта, формирование, изготовление
и своевременная подача бухгалтерской отчетности.
2.7. Выполнение требований законодательства РФ по определению порядка обработки и защиты персональных данных субъектов.
3. ПРАВОВОЕ
ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Политика Общества в
отношении совершаемых операций с персональными данными определяется в
соответствии со следующими нормативными правовыми актами Российской Федерации:
3.1. Конституция РФ.
3.2. Трудовой кодекс РФ.
3.3. Гражданский кодекс РФ.
3.4. Налоговый кодекс РФ.
3.5. Кодекс РФ об административных правонарушениях.
3.6. Федеральный закон от 19.12.2005 г. №
160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных».
3.7. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных
данных».
3.8. Федеральный закон от 27.07.2007 г. №
149-ФЗ «Об информации, информационных технологиях и о защите информации».
3.9. Федеральный закон от 29.11.2010 г. N
326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
3.10. Положение об особенностях обработки
персональных данных, осуществляемой без использования средств автоматизации, утвержденное
постановлением Правительства РФ от
15.09.2008 г. № 687.
3.11. Постановление Правительства РФ от 01.11.2012
г. N 1119 об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных.
3.12. Приказ ФСТЭК России № 55, ФСБ России № 86,
Мининформсвязи России № 20 от 13.02.2008 г. «Об
утверждении Порядка проведения классификации информационных систем персональных
данных».
3.13. Приказ ФСТЭК России от 18.02.2013 г. № 21
«Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных».
3.14. Приказ Роскомнадзора
от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию
персональных данных».
3.15. Приказ ФНС от 17.11.2010 г. № ММВ-7-3/611
«Об утверждении формы сведений о доходах физических лиц и рекомендации по ее
заполнению, формата сведений о доходах физических лиц в электронном виде,
справочников».
3.16. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об
утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации».
4. ОПЕРАЦИИ (ДЕЙСТВИЯ) С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
4.1. Перечень операций/действий, совершаемых Обществом при работе с персональными данными: сбор; хранение (электронное, документальное/наличное); анализ; систематизация; уточнение (обновление, изменение); использование при подготовке и составлении документов; использование для контакта с субъектом персональных данных (включая обзвон, ведение переписки и обмен документами), являющегося клиентом/контрагентом Общества или иным лицом, которому предоставляется юридическая услуга; предоставление в форме составленного процессуального документа при обращении сотрудниками Общества/третьими лицами в государственные, судебные, правоохранительные, исполнительные и иные органы, организации, к физическим лицам по предмету оказания субъекту персональных данных юридических услуг, передача персональных данных субъекта ПД третьим лицам, привлекаемым Обществом в рамках оказания субъекту гражданско-правовых услуг (соисполнение Договоров на оказание юридических услуг, включая случаи передоверия исполнения Поручений Заказчиков); обезличивание, удаление.
5. ПРИНЦИПЫ,
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.
Общество
осуществляет обработку персональных данных на законной и справедливой основе. В своей деятельности Общество обеспечивает
соблюдение принципов обработки персональных данных, указанных в ст. 5 ФЗ № 152-ФЗ
«О персональных данных».
5.2.
Общество не осуществляет обработку биометрических
персональных данных (сведений, которые характеризуют физиологические и
биологические особенности человека, на основании которых можно установить его
личность).
5.3.
Общество не выполняет обработку специальных категорий
персональных данных, касающихся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни.
5.4.
Общество не производит трансграничную (на территорию
иностранного государства, органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу) передачу персональных
данных.
5.5.
Общество производит передачу, предоставление персональных
данных третьим, государственным, судебным, правоохранительным, исполнительным и
иным органам, организациям исключительно с согласия самого субъекта
персональных данных. Общество
не раскрывает и не распространяет персональные данные без согласия субъекта
персональных данных (если иное не предусмотрено федеральным законом РФ).
5.6.
Обществом
не создаются общедоступные источники персональных данных.
5.7.
Общество
не осуществляется принятие решений, порождающих юридические последствия в
отношении субъекта персональных данных или иным образом затрагивающих его права
и законные интересы, на основании исключительно автоматизированной обработки
персональных данных.
5.8.
Общество
не применяет автоматизированную обработку персональных данных или обработку
персональных данных с использованием средств автоматизации.
5.9.
Общество
не поручает обработку персональных данных третьим лицам, организациям, не
привлекает для их обработки сторонние ресурсы.
5.10. При обработке персональных данных
обеспечиваются их точность, достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки персональных данных.
5.11. Общество обеспечивает
соответствие содержания и объема обрабатываемых ПД
заявленным целям обработки и, в случае необходимости, принимает меры по
устранению их избыточности по отношению к заявленным целям обработки.
5.12. В случаях,
предусмотренных действующим законодательством РФ, субъект персональных данных
принимает решение о предоставлении его ПД Обществу и дает согласие на их
обработку свободно, своей волей и в своем интересе.
6.
ПЕРЕЧЕНЬ, КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ПОЛУЧЕНИЯ
Обществом
обрабатываются следующие категории персональных данных (информация может быть предоставлена в электронном
варианте, печатном, письменном (включая копии, оригиналы документов):
6.1.
Персональные данные сотрудников, состоящих или состоявших в трудовых
отношениях с Обществом, участников Общества.
Источники получения: предоставление информации субъектами персональных данных.
6.2.
Персональные данные получателей юридических услуг (клиентов,
контрагентов), их законных представителей, членов их семей, представляемых
законными представителями субъектов ПД. Источники получения: граждане,
обратившиеся в ООО «Юридическое агентство «Эдельвейс» с целью получения
юридических услуг, предоставление информации субъектами персональных данных.
6.3.
Персональные данные соискателей на замещение вакантных должностей. Источники получения: предоставление информации
субъектами персональных данных.
6.4.
Персональные данные лиц,
привлекаемых Обществом в рамках оказания субъекту
гражданско-правовых услуг (соисполнение Договоров на
оказание юридических услуг, включая случаи передоверия исполнения Поручений
Заказчиков), состоящих или состоявших с Обществом в гражданско-правовых
отношениях. Источники получения: предоставление
информации субъектами персональных данных.
Касаемо субъектов, указанных в п. 6.2.
Политики, Общество получает от приведенных
субъектов ПД следующие персональные данные: контактные номера телефонов, адреса
электронных почт, паспортные данные. Расширенный перечень
персональных данных применяется в зависимости от предмета спора и области
применимого права (семейное, трудовое, уголовное, административное,
корпоративное, общее гражданское и т. д.) путем исключения неподпадающих
под предмет Поручения сведений: правоустанавливающие документы на объекты
гражданских прав; сведения о составе семьи и наличном юридическом свойстве
Заказчика с третьими лицами; сведения о доходе Заказчика и доходе его семьи;
иные удостоверяющие личность документы, сведения о должности,
профессии, образовании; сведения, содержащиеся в процессуальных документах,
относящихся к отдельным видам производств (гражданское, административное,
публичное, арбитражное, уголовное и т. д.). Указанный перечень подлежит
расширению по инициативе Общества или субъекта ПД по достигнутому в рамках
устного соглашения порядку.
Положения, касающиеся субъектов,
перечисленных в п. п. 6.1., 6.3., 6.4. Политики, детализированы в отдельных
актах Общества, приведенных ниже.
7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.
Сроки
обработки персональных данных определены с учетом установленных целей обработки
персональных данных, сроков действия договоров с субъектами персональных данных
и согласий субъектов персональных данных на обработку
их персональных данных.
7.2.
Согласие субъекта персональных данных на их обработку,
хранение и иной вид разрешенного использования - действительно только на период
действия Договора на оказание юридических услуг или до момента его (согласия)
отзыва в порядке, установленном законодательством РФ и условиями указанного Договора.
Также указанное согласие считается прекратившим свое действие в случаях, прямо
указанных в ФЗ от 27.07.2006 г. N 152-ФЗ "О персональных
данных".
7.3.
Персональные данные сотрудников, состоящих или состоявших в трудовых
отношениях с Обществом, участников Общества, лиц, привлекаемых Обществом
в рамках оказания субъекту гражданско-правовых услуг, состоящих или состоявших
с Обществом в гражданско-правовых отношениях –
обрабатываются и хранятся в пределах сроков действия соответствующих
типов правоотношений (трудовых, гражданско-правовых, корпоративных) с
Обществом, включая один календарный год со дня, установленного действующим
законодательством РФ, прекращения данных правоотношений.
7.4.
Персональные данные соискателей на замещение вакантных должностей - обрабатываются и хранятся в составе и в сроки,
необходимые для принятия Обществом решения о приеме либо отказе в приеме на
работу, с согласия субъектов персональных данных, а также для формирования
кадрового резерва с согласия субъектов персональных данных.
7.5.
Персональные данные получателей юридических услуг (клиентов,
контрагентов), их законных представителей, членов их семей, представляемых
законными представителями субъектов ПД - обрабатываются и хранятся в составе, в сроки и в порядке,
аналогичном приведенному в п. 7.2. Политики.
8.
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.
Субъект персональных данных вправе отозвать согласие на
обработку персональных. При этом, согласно ч. 2 ст. 9 ФЗ от 27.07.2006 г. N 152-ФЗ "О персональных
данных", в случае отзыва
субъектом персональных данных согласия на обработку персональных данных
оператор вправе продолжить обработку персональных данных без согласия субъекта
персональных данных при наличии оснований, указанных в пунктах
2 - 11
части 1 статьи 6, части
2 статьи 10 и части
2 статьи 11 настоящего Федерального
закона. Для отзыва согласия на обработку персональных данных субъект ПД должен
отправить письменное мотивированное требование на юридический адрес Общества. Согласие субъекта персональных данных или его
представителя аннулируется Обществом при обращении либо при получении запроса от
субъекта персональных данных или его представителя. Запрос
должен содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с Обществом (номер договора, дата заключения
договора, условное словесное обозначение и (или) иные сведения), либо сведения,
иным образом подтверждающие факт обработки персональных данных Обществом,
подпись субъекта персональных данных или его представителя.
8.2.
Субъект
персональных данных имеет право на получение информации, касающейся обработки
его персональных данных. Для получения указанной информации субъект ПД может
отправить письменный мотивированный запрос на юридический адрес Общества. Сведения предоставляются субъекту персональных данных или
его представителю Обществом при обращении либо при получении запроса субъекта
персональных данных или его представителя. Запрос должен
содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие субъекта
персональных данных в отношениях с Обществом (номер договора, дата заключения
договора, условное словесное обозначение и (или) иные сведения), либо сведения,
иным образом подтверждающие факт обработки персональных данных Обществом,
подпись субъекта персональных данных или его представителя.
8.3.
Субъект ПД вправе требовать от Общества уточнения его
персональных данных, их блокирования или уничтожения в случае, если
персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки, а также
принимать предусмотренные законом меры по защите своих прав.
8.4.
Право субъекта персональных данных на доступ к его
персональным данным может быть ограничено в соответствии с федеральными
законами, включая случаи, когда доступ субъекта персональных данных к его
персональным данным нарушает права и законные интересы третьих лиц, Общества.
8.5.
Для реализации своих прав и защиты законных интересов субъект
персональных данных имеет право обратиться к Обществу. Общество рассматривает
любые обращения и жалобы со стороны субъектов персональных данных, тщательно
расследует факты нарушений и принимает все необходимые меры для их немедленного
устранения, наказания виновных лиц и урегулирования спорных и конфликтных
ситуаций в досудебном порядке.
8.6.
Субъект персональных данных вправе обжаловать действия или бездействие
Общества путем обращения в уполномоченный орган по защите прав субъектов
персональных данных.
8.7.
Субъект персональных данных имеет право на защиту своих прав
и законных интересов, в том числе на возмещение убытков и/или компенсацию
морального вреда в судебном порядке.
8.8.
Общество вправе отказать субъекту персональных данных в
выполнении повторного запроса, указанного в п. 8.2. Политики, включая случаи,
указанные в п. 8.4. Политики. Такой отказ должен быть мотивированным.
Обязанность представления доказательств обоснованности отказа в выполнении
повторного запроса лежит на Обществе.
8.9.
Субъект персональных данных обладает иными правами, если они
указаны в ФЗ от 27.07.2006 г. N 152-ФЗ "О персональных
данных".
9.
ОБЯЗАННОСТИ ОБЩЕСТВА. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.
Общество
выполняет обязанности, предусмотренные ФЗ от 27.07.2006 г. N 152-ФЗ "О персональных
данных", Трудовым кодексом РФ, иными нормативными актами при
сборе персональных данных. Общество
самостоятельно определяет состав и перечень мер,
необходимых и достаточных для исполнения означенных обязанностей. Общество в
любом случае при обработке персональных данных принимает все необходимые
правовые, организационные и технические меры для их защиты от неправомерного
или случайного доступа, уничтожения, изменения, блокирования, копирования,
предоставления, распространения, а также от иных неправомерных действий в
отношении них.
9.2.
Обществом
для обеспечения выполнения обязанностей, предусмотренных в п. 9.1. Политики,
приняты следующие меры: а) назначено лицо, ответственное за организацию
обработки персональных данных; б) изданы локальные акты по вопросам обработки и
обеспечения безопасности персональных данных, а также локальные акты,
устанавливающие процедуры, направленные на предотвращение и выявление нарушений
законодательства РФ, устранение последствий таких нарушений: Правила обработки персональных данных; Перечень обрабатываемых персональных данных; Перечень
сотрудников/участников Общества, допущенных к работе с персональными данными;
настоящая Политика; другие локальные акты по вопросам обработки и
обеспечения безопасности персональных данных; в) осуществлен внутренний контроль и/или аудита
соответствия обработки персональных данных Федеральному закону от 27.07.2006 г.
№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным
правовым актам, требованиям к защите персональных данных, политике Общества в
отношении обработки персональных данных, локальным актам; г) применены
правовые, организационные и технические меры по обеспечению безопасности
персональных данных; д) проведена оценка вреда,
который может быть причинен субъектам персональных данных в случае нарушения
требований федерального законодательства о персональных данных, произведено
соотношение указанного вреда и принимаемых Обществом мер, направленных на
обеспечение выполнения обязанностей, предусмотренных требованиями Федерального
закона РФ «О персональных данных» №152-ФЗ от 27 июля
10.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Политика обязательна для соблюдения и
подлежит доведению до всех сотрудников/участников Общества, лиц, привлекаемых Обществом
в рамках оказания субъекту гражданско-правовых услуг.
10.2. Контроль за соблюдением Политики, ответственный за ее
соблюдение - генеральный директор
Общества.