1. Настоящий документ определяет Политику ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ДИАЛОГ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ» (далее — Оператор / Общество) в отношении обработки персональных данных (далее — Политика).
2. В настоящей Политике используются термины и определения, приведенные в таблице 1. Иные термины, применяемые в настоящей Политике, используются в значениях, определенных законодательством Российской Федерации иными нормативными правовыми актами, национальными стандартами в области обработки и защиты персональных данных.

Таблица 1 — Перечень терминов и определений

3. Настоящая Политика разработана на основании следующих нормативных правовых актов:
   • Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
   • постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
   • постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4. Настоящая Политика, все дополнения и изменения к ней утверждаются приказом Генерального директора Общества.

1.5. Политика подлежит опубликованию на официальном сайте Общества.

1.6. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой в Обществе, как с использованием средств автоматизации, так и без использования средств автоматизации.

1.7. Политика применяется ко всем субъектам персональных данных, обрабатываемых Обществом.

1.8. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в Обществе.

2.1. Целями обработки ПДн в Обществе являются:

• подбор персонала, ведение кадрового и воинского учета;
• бухгалтерский учет и сдача регулярной отчетности в органы исполнительной власти;
• подготовка, заключение и исполнение гражданско-правового договора;
• продвижение товаров, работ, услуг на рынке.

3.1. Основанием обработки ПДн в Обществе являются следующие нормативные акты и документы:

• Согласие субъекта персональных данных на обработку его персональных данных;
• Гражданский кодекс Российской Федерации;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Постановление Правительства Российской Федерации от 27.12.2006 № 719 «Об утверждении Положения о воинском учете»;
• Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
• договоры, заключаемые между оператором и субъектом персональных данных (или его представителем, работодателем);
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»;
• Уставные (учредительные) документы Оператора.

4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики Общества, осуществляется обработка следующих категорий субъектов персональных данных:

• работники;
• клиенты;
• контрагенты;
• представители контрагентов;
• уволенные работники;
• родственники работников;
• соискатели;
• студенты;
• посетители сайта;
• исполнители по договорам ГПХ с физ. лицами.

4.2. Для каждой цели обработки персональных данных, обрабатываемых в Обществе, утвержден объем, категории и перечни обрабатываемых персональных данных, категории субъектов персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении законных оснований (Приложение № 1 к настоящей Политике).

4.3. На веб-сайте DIALOGIT.RU:

4.3.1. В целях «Продвижения товаров, работ, услуг на рынке» в Обществе используется:

4.3.1.1. Метрическая программа третьих лиц: Яндекс Метрика.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц (Яндекс Метрика) определяется непосредственно их правообладателями и могут включать: данные устройства и место его положения, данные операционной системы (тип, версия, разрешение экрана), данные запроса (время, источник перехода, IP-адрес), данные браузера (тип, версия, cookie).

Оператор не несет ответственность за порядок использования обезличенных данных третьими лицами (Яндекс Метрика).

Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.

4.3.1.2. Форма сбора персональных данных посредством использования программы для ЭВМ «1С-Битрикс24», принадлежащей ООО «1С-Битрикс», (ОГРН 5077746476209), действующему по поручению Общества.

Состав обрабатываемых ПДн: имя, адрес электронной почты, номер телефона.

4.3.2. В целях «Подбора персонала, ведение кадрового и воинского учета» используется:

4.3.2.1. Форма сбора персональных данных посредством использования программы для ЭВМ «1С-Битрикс24», принадлежащей ООО «1С-Битрикс», (ОГРН 5077746476209), действующему по поручению Общества.

Состав обрабатываемых ПДн: имя, адрес электронной почты, номер телефона и при направлении в адрес Оператора резюме: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; профессия; должность; сведения о трудовой деятельности; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображения лица.

4.3.2.2. Метрическая программа третьих лиц: Яндекс Метрика.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц (Яндекс Метрика) определяется непосредственно их правообладателями и могут включать: данные устройства и место его положения, данные операционной системы (тип, версия, разрешение экрана), данные запроса (время, источник перехода, IP-адрес), данные браузера (тип, версия, cookie).

Оператор не несет ответственность за порядок использования обезличенных данных третьими лицами (Яндекс Метрика).

Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.

5.1. При обработке персональных данных в Обществе соблюдаются следующие принципы:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
• обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
• принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

5.2. В Обществе осуществляется как автоматизированная обработка персональных данных, так и без использования средств автоматизации. Совокупность операций обработки персональных данных в Обществе включает: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение, передача (предоставление, доступ), распространение.

5.3. При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

5.4. Прекращение обработки персональных данных осуществляется при прекращении деятельности Общества (ликвидация или реорганизация).

5.5. Трансграничная передача персональных данных Обществом не осуществляется.

5.6. В Обществе обеспечивается конфиденциальность персональных данных. Работники Общества, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.7. В Обществе допускается обработка общедоступных персональных данных.

5.8. Обработка иных категорий персональных данных осуществляется Обществом с соблюдением следующих условий:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

6.1. Общество принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам в Обществе относятся:

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
• осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
• ознакомление работников Общества с положениями законодательства Российской Федерации о персональных данных;
• применение или обеспечение применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных»;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Общества;
• реализация технических и организационных мер по защите персональных данных;
• определение категорий персональных данных, обрабатываемых в информационных системах персональных данных Общества;
• определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных;
• организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных;
• обеспечение учета и сохранности машинных носителей персональных данных;
• организация доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации;
• реализация антивирусного мониторинга и детектирования;
• применение межсетевых защитных (фильтрующих) экранов;
• своевременное установление обновлений используемого программного обеспечения;
• организация защиты технических средств информационных систем персональных данных.

1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).
2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), соблюдаются следующие условия:
   • типовая форма или связанные с ней документы содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными;
   • типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;
   • типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе;
   • типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, принимаются меры по обеспечению раздельной обработки персональных данных.
6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных.
7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.
8. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:
   • обработка персональных данных осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
   • обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
   • при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

8.1. Права субъектов персональных данных

8.1.1. Право субъекта персональных данных на доступ к его персональным данным:

1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
   • подтверждение факта обработки персональных данных Обществом;
   • правовые основания и цели обработки персональных данных;
   • цели и применяемые Обществом способы обработки персональных данных;
   • наименование и место нахождения Общества, сведения о лицах, которые имеют доступ к персональным данным;
   • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
   • сроки обработки персональных данных, в том числе сроки их хранения;
   • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
   • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
   • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества;
   • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
2. Субъект персональных данных имеет право на получение запрашиваемой информации, за исключением случаев, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
3. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных от Общества в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Обществом в течение 10 рабочих дней с момента обращения либо при получении запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Обществом мотивированного уведомления с указанием причин продления.
6. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса.
7. Субъект персональных данных вправе обратиться повторно до истечения срока, указанного в подпункте 6, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме.
8. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным.

8.1.2. Право на обжалование действий или бездействия Общества:

1. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных», субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.2. Обязанности оператора

8.2.1. Обязанности оператора при сборе персональных данных:

1. При сборе персональных данных Общество предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных.
2. Если предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными в соответствии с федеральным законом, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
3. Если персональные данные получены не от субъекта персональных данных, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
   • наименование либо фамилия, имя, отчество и адрес Общества;
   • цель обработки персональных данных и ее правовое основание;
   • перечень персональных данных;
   • предполагаемые пользователи персональных данных;
   • установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
   • источник получения персональных данных.
4. Общество не предоставляет субъекту информацию при получении персональных данных не от субъекта персональных данных в случаях, если:
   • субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом;
   • персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора;
   • обработка персональных данных, разрешенных субъектом для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 от 27.06.2006 № 152-ФЗ «О персональных данных»;
   • Общество осуществляет обработку персональных данных для статистических или иных исследовательских целей;
   • предоставление субъекту персональных данных информации нарушает права и законные интересы третьих лиц.

8.2.2. Обязанности оператора при обращении субъекта персональных данных или получении запроса:

1. Общество сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, а также предоставляет возможность ознакомления с этими персональными данными в течение 10 рабочих дней с даты получения запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления мотивированного уведомления.
2. В случае отказа в предоставлении информации Общество дает в письменной форме мотивированный ответ в срок, не превышающий 10 рабочих дней со дня обращения. Указанный срок может быть продлен, но не более чем на 5 рабочих дней.
3. Общество предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными. В срок, не превышающий 7 рабочих дней со дня предоставления подтверждающих сведений, Общество вносит необходимые изменения или уничтожает незаконно полученные персональные данные. Общество уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах.
4. Общество сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней.

8.2.3. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных:

1. В случае выявления неправомерной обработки персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных с момента такого обращения или получения указанного запроса на период проверки.
2. В случае подтверждения факта неточности персональных данных Общество уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
3. В случае выявления неправомерной обработки персональных данных Общество в срок, не превышающий 3 рабочих дней с даты этого выявления, прекращает неправомерную обработку. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 рабочих дней с даты выявления, уничтожает такие персональные данные.
4. В случае установления факта неправомерной или случайной передачи персональных данных Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных:
   • в течение 24 часов — о произошедшем инциденте, о предполагаемых причинах, предполагаемом вреде и принятых мерах по устранению последствий;
   • в течение 72 часов — о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
5. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
6. В случае отзыва субъектом персональных данных согласия на обработку Общество прекращает их обработку и уничтожает персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва.
7. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Общество обязано в срок, не превышающий 10 рабочих дней с даты получения требования, прекратить их обработку. Указанный срок может быть продлен, но не более чем на 5 рабочих дней.
8. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Общество блокирует такие персональные данные и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

8.3. Правила рассмотрения запросов субъектов персональных данных или их представителей в Обществе, а также формы рассмотрения соответствующих запросов субъектов персональных данных или их представителей утверждаются приказом Общества.

1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут ответственность, предусмотренную законодательством Российской Федерации.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Приложение № 1
к Политике в отношении обработки персональных данных
в ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
«ДИАЛОГ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ»