Политика в отношении обработки персональных данных

ООО «АЙЭФСИЭМ ГРУПП»

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее –
Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О
персональных данных» №152-ФЗ от 27 июля 2006 года, Конституцией Российской
Федерации, Трудовым кодексом Российской Федерации и действует в отношении всех
персональных данных, обрабатываемых в ООО «АЙЭФСИЭМ ГРУПП» (далее –
«Оператор»).
1.2. Целью настоящей Политики является определение категорий персональных данных,
обрабатываемых Оператором, а также основных принципов, которыми Оператор
руководствуется при обработке персональных данных.
1.3. Положения настоящей Политики являются обязательными для исполнения всеми
работниками Оператора, организациями, получающими либо предоставляющие
персональные данные Оператору, а также физическими лицами, находящимися в
договорных отношениях с Оператором.
1.4. В настоящей Политике используются следующие понятия:
  • персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) – государственный орган,
муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с
другими лицами организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность
действий (операций) с персональными данными, совершаемых с использованием средств
автоматизации или без их использования. Обработка персональных данных включает в себя, в том
числе:

o сбор;
o запись;
o систематизацию;
o накопление;
o хранение;
o уточнение (обновление, изменение);
o извлечение;
o использование;
o передачу (распространение, предоставление, доступ);
o блокирование;
o удаление;
o уничтожение.
 автоматизированная обработка персональных данных – обработка персональных
данных с помощью средств вычислительной техники;

  • распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному или неограниченному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения
персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных;
  • информационная система персональных данных – совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных
на территорию иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу.
  • конфиденциальность персональных данных – обязанность Оператора и иных лиц,
получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять
персональные данные без согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом.
  • субъект персональных данных (субъект ПД) - определенные или определяемые
(поддающиеся определению) физические лица. К числу таких лиц могут относиться работники
Оператора, законные представители работников, родственники работников, представители
контрагентов, и иные лица;
1.5. Субъекты персональных данных или их законные представители имеют право:
  • получать полную информацию о своих персональных данных и обработке этих
данных (в том числе автоматизированной);
  • осуществлять свободный бесплатный доступ к своим персональным данным, включая
право получать копии любой записи, содержащей персональные данные субъекта, за
исключением случаев, предусмотренных федеральным законодательством РФ;
  • требовать исключения или исправления неверных или неполных персональных
данных, а также данных, обработка которых ведется с нарушением законодательства РФ;
  • при отказе Оператора или уполномоченного им лица исключить или исправить
персональные данные субъекта – заявить в письменной форме о своем несогласии,
представив соответствующее обоснование;
  • требовать от Оператора или уполномоченного им лица уведомления всех лиц,
которым ранее были сообщены неверные или неполные персональные данные субъекта,
обо всех произведенных в них изменениях или исключениях из них;
  • обжаловать в суде любые неправомерные действия или бездействие Оператора или
уполномоченного им лица, осуществляемые при обработке и защите персональных данных
субъекта;

  • Иные права, предусмотренные действующим законодательством.
1.6. Субъекты персональных данных или их законные представители, обязаны:
  • предоставлять Оператору персональные данные, соответствующие действительности;
  • воевременно уведомлять Оператора обо всех изменениях персональных данных.
1.7. Оператор имеет право осуществлять обработку персональных данных при условии
наличия законных оснований, соответствия процессов обработки заявленным целям
обработки и требованиям законодательства Российской Федерации, положениям
настоящей Политики и иных локальных актов Оператора.
1.8. Оператор обязан:
  • за свой счет обеспечить защиту персональных данных от неправомерного их
использования или утраты в порядке, установленном законодательством РФ;
  • предоставлять субъекту персональных данных по его запросу информацию,
касающуюся обработки его персональных данных, либо на законных основаниях
предоставить отказ;
  • обеспечить субъекту свободный бесплатный доступ к своим персональным данным,
включая право на получение копий любой записи, содержащей его персональные данные,
за исключением случаев, предусмотренных законодательством РФ;
  • по требованию субъекта персональных данных уточнять обрабатываемые
персональные данные, блокировать или удалять, если персональные данные являются
неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;
  • вести Журнал учета обращений субъектов персональных данных, в котором должны
фиксироваться запросы субъектов персональных данных на получение персональных
данных, а также факты предоставления персональных данных по этим запросам;
  • уведомлять субъекта персональных данных об обработке персональных данных в том
случае, если персональные данные были получены не от субъекта персональных данных;
  • в случае достижения цели обработки персональных данных незамедлительно
прекратить обработку персональных данных и уничтожить соответствующие
персональные данные в срок, не превышающий тридцати дней с даты достижения цели
обработки персональных данных, если иное не предусмотрено федеральным
законодательством РФ, и уведомить об этом субъекта персональных данных или его
законного представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган;
  • в случае отзыва субъектом персональных данных согласия на обработку своих
персональных данных прекратить обработку персональных данных и уничтожить
персональные данные в срок, не превышающий тридцати дней с даты поступления
указанного отзыва, если иное не предусмотрено соглашением между Оператором и
субъектом персональных данных;
  • предоставлять персональные данные субъекта только уполномоченным лицам и
только в той части, которая необходима им для выполнения их трудовых обязанностей в
соответствии с настоящим Положением и законодательством Российской Федерации.

2. Цели обработки персональных данных
2.1. Для каждой категории персональных данных Оператором определены и утверждены
конкретные цели обработки. Обработка персональных данных, несовместимая с
утвержденными целями, не допускается.
  • Предоставление доступа к информационным системам и управление профилями
пользователей;
  • Сбор и анализ статистической информации;
  • Сопровождение и администрирование информационных систем;

2.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию
по окончании срока хранения, достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
законодательством.
2.4. Порядок уничтожения или обезличивания устанавливается внутренними НПА
Оператора.

3. Правовые основания обработки персональных данных
Обработка персональных данных, указанных ниже категорий, помимо прочего,
осуществляется в соответствии с требованиями Налогового кодекса РФ, Федерального
закона № 402-ФЗ «О бухгалтерском учете», Федерального закона N 125-ФЗ «Об
архивном деле в Российской Федерации», Приказа Росархива от 20.12.2019 N 236 «Об
утверждении Перечня типовых управленческих архивных документов, образующихся в
процессе деятельности государственных органов, органов местного самоуправления и
организаций, с указанием сроков их хранения», а также иных нормативно-правовых
актов Российской Федерации, в рамках осуществления и выполнения, возложенных
законодательством Российской Федерации на Оператора функций, полномочий и
обязанностей.

3.9. Обработка персональных данных посетителей сайта осуществляется на основании их
согласия на обработку персональных данных, политики обработки файлов cookie.

4. Объем и категории обрабатываемых персональных данных, категории
субъектов персональных данных
4.1. Оператором обрабатываются персональные данные следующих категорий субъектов:

 Претенденты на должность
 Работники
 Родственники работников
 Посетители территории Оператора
 Уволенные работники
 Представители контрагентов
 Контрагенты-физические лица
 Посетители сайта
 Физические лица клиенты контрагентов

4.9. Персональные данные физические лица клиенты контрагентов включают в себя
следующие сведения:
Фамилия, Имя, Отчество;
Номер телефона;
Принадлежность к классу/ Структурное подразделение;
Дата рождения; (учащегося)
Табельный номер;
Электронная почта;
4.10. Персональные данные посетители сайта включают в себя следующие сведения:
тип и версия ОС,
тип и версия браузера,
тип устройства и разрешение его экрана,
источник откуда я пришел на Сайт, с какого сайта или по какой рекламе,
язык ОС и браузера,
какие действия совершает пользователь на Сайте,
ip-адрес;
статическая информация;
5. Порядок и условия обработки персональных данных
5.1. Все персональные данные Оператор получает непосредственно от субъекта
персональных данных, от его представителя либо от лица, поручившего Оператору
обработку персональных данных, за исключением случаев, предусмотренных
законодательством РФ.
5.2. Обработка персональных данных осуществляется с согласия субъекта персональных
данных, за исключением случаев, предусмотренных законодательством РФ. Согласие
может быть выражено в различных формах, позволяющих подтвердить факт его
получения, в том числе в конклюдентных действиях, в письменном виде в форме
отдельного документа, либо в составе какого-либо документа, подписываемого
субъектом. Согласие может быть дано представителем субъекта, при предоставлении
им доказательств своих полномочий.

5.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку
персональных данных по поручению Оператора, обязано соблюдать принципы и
правила, в том числе иные требования обработки персональных данных,
предусмотренные ФЗ-152 и настоящей Политикой.
5.4. Согласие на обработку персональных данных может быть отозвано субъектом
персональных данных. В случаях, предусмотренных законодательством РФ, обработка
персональных данных может быть продолжена даже после отзыва субъектом согласия
на обработку.
5.5. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не
основывается на персональных данных субъекта, полученных исключительно в
результате их автоматизированной обработки или электронного получения.
5.6. Персональные данные не используются в целях причинения имущественного и/или
морального вреда гражданам, затруднения реализации прав и свобод граждан
Российской Федерации.
5.7. Доступ к персональным данным имеют работники Оператора, которым персональные
данные необходимы в связи с исполнением ими должностных обязанностей.
5.8. Передача персональных данных работника Оператора третьим лицам осуществляется
только с письменного согласия субъекта, за исключением случаев, предусмотренных
законодательством РФ.
5.9. Оператор вправе передавать персональные данные органам дознания и следствия,
иным уполномоченным органам по основаниям, предусмотренным действующим
законодательством Российской Федерации.
5.10. Оператор вправе создавать общедоступные источники персональных данных, в
которые могут включаться персональные данные субъекта персональных данных с его
письменного согласия.
5.11. Передача персональных данных субъекта в коммерческих целях без его
письменного согласия не осуществляется.
5.12. В случае необходимости передачи Оператором персональных данных третьим
лицам, она осуществляется только после подписания между Оператором и третьей
стороной соглашения о неразглашении конфиденциальной информации, за
исключением случаев, предусмотренных законодательством РФ.
5.13. Обработка персональных данных осуществляется как использованием средств
вычислительной техники, так и без использования таковых средств.
Сроки обработки персональных данных Оператором в общем случае определяются в
соответствии со сроками, установленными Федеральным законом от 27.07.2006 № 152-
ФЗ «О персональных данных»; сроком действия соответствующего договора; сроками,
оговоренными в поручении на обработку персональных данных; сроками действия
документов, установленными Федерального закона N 125-ФЗ «Об архивном деле в
Российской Федерации»; Приказа Росархива от 20.12.2019 N 236 «Об утверждении
Перечня типовых управленческих архивных документов, образующихся в процессе
деятельности государственных органов, органов местного самоуправления и
организаций, с указанием сроков их хранения», сроком исковой давности; сроком

действия согласия, данного субъектом персональных данных на их обработку; а также
иными требованиями законодательства Российской Федерации.
5.19. Персональные данные подлежат уничтожению по достижении целей обработки, в
случае утраты необходимости в их достижении, по истечении срока хранения, при
выявлении факта неправомерной обработки либо по требованию лица, поручившего
обработку персональных данных в срок, не превышающий тридцати дней с даты
достижения цели обработки персональных данных, либо получения отзыва на их
обработку. Уничтожение осуществляется в присутствии комиссии. По итогам
составляется акт об уничтожении
6. Защита персональных данных
6.1. Оператор обеспечивает защиту персональных данных субъекта от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.
6.2. Защита персональных данных обеспечивается Оператором в установленном
действующим законодательством РФ и локальными актами Оператора порядке, путем
выполнения комплекса организационно–технических мероприятий, обеспечивающих
их безопасность.
6.3. Все меры защиты при сборе, обработке, хранении и передаче персональных данных
субъекта распространяются как на бумажные, так и на электронные
(автоматизированные) носители информации.
7. Актуализация, исправление, удаление и уничтожение персональных данных
7.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить
персональные данные в соответствии с Федеральным законодательством Российской
Федерации.
7.2. По запросу субъекта персональных данных Оператор обязан:
 предоставить сведения о наличии у оператора персональных данных субъекта;
 предоставить возможность ознакомления с персональными данными субъекта
(исключение ФЗ-152 статья 14 часть 5);
 уточнить недостоверные или изменившиеся персональные данные;
 блокировать или уничтожить персональные данные в случае, если они являются
незаконно полученными, не являются необходимыми для заявленной цели обработки или
отозвано согласие субъекта.
7.3. Запрос субъекта персональных данных должен быть отправлен Оператору в бумажном
виде и содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем его органе, и собственноручную подпись субъекта
персональных данных или его законного представителя. Рекомендуемая типовая форма
запроса представлена в Приложении 1 к настоящей Политике.
7.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой
подписью в соответствии с законодательством Российской Федерации на электронную
почту: reception.ru@ifcmgroup.ru .
7.5. При поступлении запроса обращения субъектов, ответственный работник Оператора
обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов.

7.6. Ответ, либо мотивированный отказ, должны быть отправлены в течение 10 (десяти)
дней с даты получения запроса от субъекта персональных данных. Срок ответа может
быть продлен не более чем на пять рабочих дней по мотивированному уведомлению,
которое Оператор обязан направить инициатору запроса. Ответ должен содержать
конкретную и исчерпывающую информацию, касающуюся сути вопроса.
7.7. В случае установления факта неправомерной или случайной передачи
(предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов
ПД, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о
предполагаемых причинах, повлекших нарушение прав субъектов ПД, и
предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по
устранению последствий соответствующего инцидента, а также предоставить сведения
о контактном лице - в течение суток с момента выявления такого инцидента
оператором, самим Роскомнадзором или иным заинтересованным лицом, а о
результатах внутреннего расследования выявленного инцидента и о лицах, действия
которых стали причиной выявленного инцидента (при наличии) - в течение трех суток.
8. Изменение Политики
8.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении
изменений в заголовке Политики указывается дата последнего обновления редакции.
Новая редакция Политики вступает в силу с момента утверждения генеральным
директором Оператора. Политика должна быть размещена на сайте Оператора не
позднее 3-х дней даты ее утверждения.
8.2. Действующая редакция хранится в месте нахождения исполнительного органа
Оператора по адресу: 107113, РФ, город Москва, улица Рыбинская 3-я, дом 18,
строение 22, эт. 4, пом. VIII, ком.46, электронная версия Политики – на сайте
Оператора по адресу: http://ifcmgroup.ru/ .
8.3. К настоящей Политике и отношениям между субъектами персональных данных и
Оператором подлежит применению право Российской Федерации.
9. Обратная связь
9.1. Адрес электронной почты: reception.ru@ifcmgroup.ru
9.2. Почтовый адрес: 107113, РФ, город Москва, улица Рыбинская 3-я, дом 18, строение 22,
эт. 4, пом. VIII, ком.46
9.3. Контактный номер телефона: +7 (495) 246-01-10
Центральный офис АЙЭФСИЭМ ГРУПП
107113, Москва, ул. 3-я Рыбинская, д. 18, стр. 22.
Тел: +7(495) 246-01-10