I. Общие положения
1.1. Компания самостоятельно осуществляет обработку персональных данных, определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также в отдельных случаях поручает обработку персональных данных третьим лицам.
1.2. При обработке персональных данных Компания руководствуется следующими принципами:
1.3. На основе данной Политики Компания разрабатывает внутренние нормативные документы, устанавливающие процедуры обработки и защиты обрабатываемых персональных данных.
II. Термины и определения
В Политике используются следующие основные понятия:
III. Цели обработки персональных данных
ассмотрение резюме и подбор кандидатов для трудоустройства
Компания осуществляет обработку персональных данных в следующих целях:
1.1. Перечень персональных данных:
1.2. Категории субъектов персональных данных:
1.3. Сроки обработки и хранения:
1.4. Способ обработки:
1.5. Способ хранения:
1.6. Порядок уничтожения:
едение кадрового и бухгалтерского учета
2.1. Перечень персональных данных:
2.2. Категории субъектов персональных данных:
2.3. Сроки обработки и хранения:
2.4. Способ обработки:
2.5. Способ хранения:
2.6. Порядок уничтожения:
3.3. Создание учетных записей в корпоративных информационных системах для обеспечения и управления доступом к корпоративным ИТ-сервисам и данным, учёт информации об использовании услуг корпоративной мобильной связи, решение проблем, возникающих у сотрудников в процессе работы с персональными компьютерами и оргтехникой, обеспечение контроля доступа в офисы и специализированные внутренние помещения.
3.3.1. Перечень персональных данных, обрабатываемых с целью заведение учетных записей в корпоративной информационной сети и обеспечение доступа к корпоративным ИТ-сервисам:
3.3.2. Категории субъектов персональных данных: работники Компании.
3.3.3. Сроки обработки и хранения: в период трудоустройства или до получения от субъекта персональных данных требования о прекращении обработки и удалении персональных данных (что наступит раньше).
3.3.4. Способ обработки: с использованием и без использования средств автоматизации.
3.3.5. Способ хранения: в электронном виде.
3.3.6. Порядок уничтожения: в соответствии с разделом 6 настоящей Политики.
3.4. Проведение инструктажей по охране труда, пожарной безопасности, электробезопасности, гражданской обороне и чрезвычайным ситуациям.
3.4.1. Перечень персональных данных, обрабатываемых с целью проведения инструктажей по охране труда, пожарной безопасности, электробезопасности, гражданской обороне и чрезвычайным ситуациям:
3.4.2. Категории субъектов персональных данных: работники Компании.
3.4.3. Сроки обработки и хранения: в период трудоустройства или до получения от субъекта персональных данных требования о прекращении обработки и удалении персональных данных (что наступит раньше). При этом Компания вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152 О персональных данных.
3.4.4. Способ обработки: с использованием и без использования средств автоматизации.
3.4.5. Способ хранения: на материальных носителях и в электронном виде.
3.4.6. Порядок уничтожения: в соответствии с разделом 6 настоящей Политики.
3.5. Оформление пропусков на территории Компании, контроль за перемещениями на территории.
3.5.1. Перечень персональных данных, обрабатываемых с целью оформления пропусков на территории Компании, осуществления контроля за перемещениями на территории:
3.5.2. Категории субъектов персональных данных: кандидаты, работники, партнеры, представители партнеров, лица, намеревающиеся заключить договор от своего имени или от имени доверителя, посетители.
### Сроки обработки и хранения
- В период необходимости помещения территории Компании или до получения от субъекта персональных данных требования о прекращении обработки и удалении персональных данных (что наступит раньше).
- Компания вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152 О персональных данных.
### Способ обработки
- С использованием и без использования средств автоматизации.
### Способ хранения
- На материальных носителях и в электронном виде.
### Порядок уничтожения
- В соответствии с разделом 6 настоящей Политики.
### Подготовка, заключение, исполнение и расторжение договоров с партнерами
#### Перечень персональных данных
- Общие персональные данные.
### Категории субъектов персональных данных
- Партнеры и поставщики, представители партнеров и поставщиков, лица, намеревающиеся заключить договор от своего имени или от имени доверителя.
### Сроки обработки
- При подготовке к заключению договора — до принятия решения о заключении договора, при исполнении договора — в период действия договора или до получения от субъекта персональных данных требования о прекращении обработки и удалении персональных данных (что наступит раньше).
- Компания вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152 О персональных данных.
### Способ обработки и хранения
- С использованием и без использования средств автоматизации.
### Способ хранения
- На материальных носителях и в электронном виде.
### Порядок уничтожения
- В соответствии с разделом 6 настоящей Политики.
### Проведение маркетинговых мероприятий
- Проведение мастер-классов, семинаров, вебинаров.
#### Перечень персональных данных
- Для проведения маркетинговых мероприятий и ведения статистики посещения данных мероприятий.
### Категории субъектов персональных данных
- Посетители маркетинговых мероприятий.
### Сроки обработки и хранения
- До завершения целей обработки персональных данных или до получения от субъекта персональных данных требования о прекращении обработки и удалении персональных данных (что наступит раньше).
### Способ обработки
- С использованием и без использования средств автоматизации.
### Способ хранения
- На материальных носителях и в электронном виде.
### Порядок уничтожения
- В соответствии с разделом 6 настоящей Политики.
### Обработка запросов с веб-сайта
Перечень персональных данных, обрабатываемых с целью обработки запросов, полученных с веб-сайта Компании:
- Категории субъектов персональных данных: посетители сайта.
- Сроки обработки: до завершения взаимодействия по запросу или до получения требования о прекращении обработки и удалении персональных данных.
- Способ обработки: с использованием и без использования средств автоматизации.
- Способ хранения: в электронном виде.
- Порядок уничтожения: в соответствии с разделом 6 настоящей Политики.
Публикация сведений о представителях ООО Карл Цейсс на сайте Компании:
- Перечень персональных данных, обрабатываемых с целью публикации сведений на сайте о представителях Компании:
- Категории субъектов персональных данных: работники Компании.
- Сроки обработки и хранения: в период трудоустройства или до получения требования о прекращении обработки и удалении персональных данных.
- Способ обработки: с использованием и без использования средств автоматизации.
- Способ хранения: в электронном виде.
- Порядок уничтожения: в соответствии с разделом 6 настоящей Политики.
- Обработка персональных данных осуществляется после получения от субъекта персональных данных письменного согласия.
Получение Компанией услуг от третьих лиц согласно заключенным договорам:
- Перечень персональных данных, обрабатываемых с целью получения Компанией услуг от третьих лиц:
- Категории субъектов персональных данных: сотрудники компаний поставщиков, оказывающие услуги на основании заключенных договоров.
- Сроки обработки и хранения: в период оказания услуг.
- Способ обработки: с использованием и без использования средств автоматизации.
- Способ хранения: в электронном виде.
- Порядок уничтожения: в соответствии с разделом 6 настоящей Политики.
Получение и обработка персональных данных:
- Обрабатываемые персональные данные Компания получает.
- Обработка персональных данных осуществляется на законных основаниях.
- Получение согласия субъекта персональных данных на обработку его данных.
- Получение персональных данных от лица, не являющегося субъектом, с определенными основаниями.
- Обработка персональных данных как с использованием, так и без использования автоматизации.
- Определен перечень лиц, допущенных к обработке персональных данных.
4.6. Для достижения целей обработки персональных данных Компания осуществляет следующие операции с персональными данными: сбор, запись, систематизацию, накопление, комбинацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.7. Для достижения заявленных целей в разделе 3 настоящей Политики в Компании обрабатываются персональные данные кандидатов для трудоустройства на вакантную должность, работников Компании, партнеров и поставщиков, представителей партнеров и поставщиков, намеревающихся заключить договор от своего имени или от имени доверителя, посетителей офисов Компании, посетителей маркетинговых мероприятий, посетителей сайта Компании, сотрудников компаний поставщиков, оказывающих услуги ООО «Карл Цейсс» по заключенным договорам.
4.8. Компания не раскрывает и не предоставляет третьим лицам персональные данные без согласия субъекта персональных данных, полученного в требуемой законодательством РФ форме.
4.9. Для выполнения, возложенных законодательством РФ функций, полномочий и обязанностей, а также для достижения своих уставных целей и выполнения договорных обязательств, Компания предоставляет часть обрабатываемых персональных данных в Пенсионный фонд РФ, Федеральную налоговую службу РФ, в государственные органы для осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Компанию; и в иные организации при наличии соответствующих правовых оснований, предусмотренных законодательством РФ, в том числе с согласия субъекта персональных данных.
4.10. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
4.11. В Компании не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.12. В Компании может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия субъекта персональных данных.
4.13. Компания осуществляет трансграничную передачу персональных данных на основании полученного от субъекта персональных данных согласия.
4.14. Используемые в Компании базы данных информации, содержащие персональные данные граждан РФ, располагаются на территории РФ.
4.15. В Компании не принимаются решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
4.16. Компания сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
4.17. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем — субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Компания обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
V. — Хранение персональных данных
5.1. Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством РФ и нормативными документами Компании.
5.2. В Компании организуется хранение персональных данных в течение времени, установленного требованиями Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ» и «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Приложение к приказу Министерства культуры РФ от 25.08.2010 №558), в отдельных случаях в течение времени, установленного договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных или в течение срока, определенного в согласии субъекта персональных данных.
5.3. При достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных, обрабатываемые персональные данные уничтожаются.
VI. — Уничтожение персональных данных
6.1. При достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных данных, обрабатываемые персональные данные уничтожаются.
6.2. Компанией определены порядок и способы уничтожения информации по достижению целей обработки, в том числе удаление с электронных носителей информации, уничтожение материальных носителей персональных данных, которые делают невозможным их прочтение и воспроизведение.
6.3. По запросу субъекта персональных данных Компания обязана блокировать или уничтожить персональные данные в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта персональных данных.
6.4. Запрос субъекта персональных данных должен быть отправлен Компании в бумажном виде и содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта персональных данных или его законного представителя.
6.6. При поступлении запроса/ обращения субъектов ответственный работник Компании обязан зарегистрировать такой запрос в журнале регистрации обращений субъектов персональных данных.
6.7. Ответ или мотивированный отказ должны быть отправлены в течение 10 (десяти) рабочих дней с даты получения запроса от субъекта персональных данных. Ответ должен содержать конкретную и исчерпывающую информацию, касающуюся сути запроса/ обращения.
VII. Защита персональных данных
7.1. В Компании принимаются необходимые правовые, организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и от иных неправомерных действий в отношении персональных данных.
7.2. В Компании приказами назначаются лица, ответственные за организацию обработки персональных данных и за обеспечение безопасности персональных данных.
7.3. В Компании определен перечень лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими должностных обязанностей.
7.4. В Компании выполняются мероприятия по учету и обеспечению сохранности носителей персональных данных.
7.5. В Компании проводится оценка вреда, который может быть причинен субъектам персональных данных, а также регулярно проводится анализ условий и факторов, создающих угрозы безопасности персональных данных при их обработке.
7.6. В случаях, предусмотренных законодательством РФ, в рамках системы защиты персональных данных Компанией применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
7.7. Ввод в эксплуатацию новых информационных систем персональных данных производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.
7.8. В рамках системы защиты персональных данных Компанией реализованы:
VIII. Раскрытие персональных данных
8.1. От имени ООО «Карл Цейсс» направлено Уведомление об обработке персональных данных, а также Уведомление о трансграничной передаче персональных данных в уполномоченный орган по защите прав субъектов персональных данных.