ПОЛИТИКА
В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «РАШОД»
Редакция от 26. 07. 2024 года
СОДЕРЖАНИЕ:
1. Общие положения
2. Цели обработки персональных данных Обществом
3. Правовые основания для обработки персональных данных Обществом
4. Принципы в области защиты персональных данных
5. Действия, совершаемые с персональными данными
6. Способы получения персональных данных
7. Передача персональных данных третьим лицам
8. Меры, принимаемые Обществом для защиты персональных данных
9. Сроки обработки и хранения, порядок уничтожения персональных данных
10. Рассмотрение запросов субъектов персональных данных или их представителей
11. Отзыв согласия на обработку персональных данных
12. Внесение изменений в Политику
1.
Общие положения 1.1. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее — «Политика») определяет цели, содержание и порядок обработки персональных данных, меры по защите персональных данных и предотвращение нарушений законодательства Республики Таджикистан в области персональных данных в Обществе с ограниченной ответственностью «Рашод» (ООО «Рашод», юридическое лицо, созданное и действующее в соответствии с законодательством Республики Таджикистан, ИНН 030016112, ЕИН 0310007280, юридический адрес: г. Душанбе, ул. Пушкина 10, кв. 13), далее именуемом «Общество».
1.2. Использование персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и Законом Республики Таджикистан «О защите персональных данных», нормативных правовых актах в области персональных данных.
1.3. Субъект персональных данных, предоставивший Обществу свои персональные данные, дает согласие на их обработку и иные действия, указанные в пункте 5 Политики.
1.4. В Политике используются следующие определения:
- биометрические персональные данные - персональные данные, определяющие физиологические и биологические особенности субъекта;
- персональные данные - сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность;
- сбор персональных данных - действия, направленные на получение персональных данных;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить персональные данные;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- база персональных данных (далее - база данных) - совокупность упорядоченных персональных данных;
- защита персональных данных - комплекс мер, осуществляемых в целях предотвращения несанкционированного доступа к персональным данным;
- обработка персональных данных - действия, направленные на запись, систематизацию, хранение, изменение, дополнение, извлечение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
- использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
- хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных неопределенному кругу лиц;
- субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные;
- третье лицо - лицо, не являющееся субъектом, обладателем и оператором, но связанное с ними обстоятельствами или правоотношениями по персональным данным;
- материальные носители - материальные объекты, (в том числе физические поля), на которых персональные данные отражаются в виде символов, видов и звука;
- действия (операции) обладателя с персональными данными - сбор, хранение, уточнение, передача, изъятие, обезличивание и уничтожение персональных данных;
- режим конфиденциальности персональных данных - установленные правила, определяющие доступность, передачу и условия хранения персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств.
1.5. Общество при работе с персональными данными обязуется:
- обеспечивать конфиденциальность и безопасность персональных данных субъектов персональных данных;
- по запросу субъектов персональных данных предоставлять им информацию об обработке их персональных данных;
- по требованию субъекта персональных данных уточнять его персональные данные, блокировать или удалять их, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.6. Общество при работе с персональными данными вправе:
- предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено законодательством Республики Таджикистан (по запросу государственных органов, органов суда и др.) и настоящей Политикой;
- отказывать в предоставлении информации о персональных данных в случаях, предусмотренных законодательством Республики Таджикистан в области персональных данных;
- использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством Республики Таджикистан.
1.7. Субъект персональных данных вправе:
- запрашивать информацию, касающуюся обработки его персональных данных;
- требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку персональных данных;
- принимать иные меры, предусмотренные законодательством Республики Таджикистан в области персональных данных, по защите своих прав.
2.
Цели обработки персональных данных ОбществомОбщество обрабатывает персональные данные в следующих целях:
- рассмотрение вопросов трудоустройства в Общество, ведение кадрового резерва Общества путём формирования базы анкет и резюме кандидатов на вакантные должности;
- ведение кадрового документооборота в Обществе в соответствии с трудовым законодательством Республики Таджикистан (в том числе заключение трудовых договоров, направление в командировки, перевод на другие должности, учет выполнения должностных обязанностей, обеспечение охраны труда, гарантий и компенсаций); формировании разделов веб-сайта Общества, касающихся кадровой политики Общества;
- в случаях необходимости и при наличии согласия работников Общества – для предоставления дополнительных льгот, преимуществ, компенсаций, в том числе дополнительного медицинского страхования, направления на обучение и т.д.;
- ведение документооборота в Обществе, в том числе выполнение обязанностей, предусмотренных законодательством Республики Таджикистан, например, в сфере бухгалтерского учёта, налоговой отчётности, переписка с государственными органами и предоставление ответов на запросы государственных органов;
- обеспечение безопасной деятельности Общества: проведение проверки на отсутствие конфликта интересов, управление рисками;
- осуществление внешних коммуникаций, включая публикацию информационных и рекламных материалов от имени Общества,
- заключение и исполнение сделок (договоров, контрактов) от имени Общества, установление и поддержание делового общения, осуществление информационного взаимодействия;
- обработка обращений физических и юридических лиц.
3.
Правовые основания для обработки персональных данных Обществом Общество обрабатывает персональные данные в соответствии со следующими правовыми основаниями:
- исполнение обязанностей, возложенных на Общество трудовым законодательством (Трудовой кодекс Республики Таджикистан, нормативные правовые акты Республики Таджикистан в сфере труда и охраны труда);
- исполнение обязанностей, возложенных законодательством Республики Таджикистан (Закон «Об информации», Закон Республики Таджикистан «О защите информации», Закон Республики Таджикистан «О праве на доступ к информации», Закон Республики Таджикистан «О коммерческой тайне», Закон Республики Таджикистан «О защите персональных данных», и др.);
- договоры, заключенные между Обществом и субъектами персональных данных;
- согласия на обработку персональных данных, полученные Обществом от субъектов персональных данных для всех целей, указанных в пункте 2 Политики;
- выполнение запросов государственных органов Республики Таджикистан;
- защита конституционных прав и свобод человека и гражданина.
4.
Принципы в области защиты персональных данныхСбор, обработка и защита персональных данных в Обществе основывается согласно статье 4 Закона Республики Таджикистан «О защите персональных данных» на следующих принципах:
- соблюдение прав и свобод гражданина и человека;
- законность;
- справедливость;
- гласность и прозрачность;
- конфиденциальность персональных данных ограниченного доступа;
- равенство прав субъектов, обладателей и операторов;
- обеспечение безопасности личности, общества и государства.
5.
Действия, совершаемые с персональными данными Общество совершает следующие действия с персональными данными:
- сбор (получение);
- запись;
- систематизация;
- хранение;
- изменение;
- дополнение;
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- уничтожение.
6.
Способы получения персональных данных Общество получает персональные данные субъектов следующими способами:
- непосредственно от субъекта персональных данных;
- на основании заключенных договоров, одной из сторон которого является субъект персональных данных.
7.
Передача персональных данных третьим лицам7.1. Общество обрабатывает персональные данные в целях, указанных в пункте 2 Политики, и для достижения этих целей может передавать персональные данные третьим лицам, включая, но не ограничиваясь:
- партнёрам и контрагентам Общества в целях оказания услуг Обществом,
- кредитным учреждениям и платёжным системам для выполнения платёжных операций,
- страховым, медицинским и иным организациям при страховании работников Общества,
- учебным центрам и образовательным учреждениям при направлении работников Общества на обучение, тренинги, повышение квалификации,
- компаниям, занимающимся организацией контроля доступа в помещения Общества,
- операторам сотовой связи и интернет-провайдерам при обеспечении мобильной связи и интернет-связи работникам Общества,
- организациям, когда соискатель даёт Обществу согласие на проверку документов и данных, указанных им анкете, резюме.
7.2. Общество в своих договорах с третьими лицами обязует этих лиц обеспечить конфиденциальность персональных данных и использовать полученные от Общества персональные данные в соответствии с требованиями Общества к безопасности и в соответствии с настоящей Политикой.
7.3. Общество вправе раскрыть персональные данные субъекта без его согласия в соответствии со статьёй 12 Закона Республики Таджикистан «О защите персональных данных» в следующих случаях:
- по требованию государственных органов Республики Таджикистан (в том числе, органов государственной власти, правоохранительных органов, судебных органов);
- в случае необходимости защиты конституционных прав и свобод человека и гражданина (в том числе, прав и свобод субъекта персональных данных или третьих лиц).
7.4. Также Общество не уведомляет субъекта об обработке персональных данных, полученных не от него самого, в следующих случаях:
- субъект персональных данных уже уведомлен другими операторами или иными организациями об осуществлении обработки его персональных данных Обществом;
- персональные данные субъекта получены Обществом на основании законодательства Республики Таджикистан или для исполнения договора, стороной (или выгодоприобретателем) которого является данный субъект.
8.
Меры, принимаемые Обществом для защиты персональных данных8.1. При обработке персональных данных Общество применяет правовые, организационные и технические меры для защиты от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов.
Все персональные данные, которые обрабатываются Обществом, в пределах, предусмотренных законодательством Республики Таджикистан, защищены техническими средствами и процедурами обеспечения безопасности в целях предотвращения несанкционированного доступа или использования персональных данных.
8.2. Для обеспечения защиты персональных данных субъектов в Обществе выполняются следующие мероприятия:
- в Обществе назначаются ответственные лица за организацию процессов обработки и защиты персональных данных;
- в Обществе принимаются технические меры защиты для обеспечения безопасности персональных данных в информационных системах Общества;
- носители с персональными данными как бумажные, так и электронные, подлежат учету; к носителям с персональными данными применяются требования по хранению и уничтожению;
- доступ к персональным данным имеют минимально необходимое количество работников Общества и только в целях выполнения ими их должностных обязанностей;
- работникам Общества создаются условия для обеспечения безопасного хранения персональных данных;
- на территории Общества установлен пропускной режим;
- в договоры с работниками, которые имеют доступ к персональным данным, включены условия о неразглашении конфиденциальной информации, в том числе персональных данных;
- Общество проводится обучение работников, участвующих в обработке персональных данных;
- Общество в своей деятельности постоянно повышает уровень безопасности персональных данных субъектов и при обнаружении несоответствий в самые короткие сроки устраняет их причины.
9.
Сроки обработки и хранения, порядок уничтожения персональных данных 9.1. Общество утверждает и периодически обновляет Перечень персональных данных, необходимых для выполнения осуществляемых им задач, и сроки хранения персональных данных (Приложение 1 к Политике).
9.2. Хранение персональных данных (кроме обезличенных персональных данных) в Обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных. Исключение составляют случаи, когда иной срок хранения установлен законодательством Республики Таджикистан или соглашением (договором), стороной или выгодоприобретателем которого является субъект персональных данных.
9.3. Хранение персональных данных осуществляется Обществом исключительно на территории Республики Таджикистан. Трансграничная передача персональных данных не осуществляется Обществом.
9.4. При несовместимости целей обработки персональных данных Общество обеспечивает их раздельное хранение на разных материальных носителях.
9.5. В Обществе выполняется контроль над хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях.
9.6. Срок хранения персональных данных в информационных системах и электронных базах данных Общества соответствует сроку хранения бумажных оригиналов.
9.7. Общество прекращает обработку персональных данных:
- при достижении целей обработки персональных данных,
- при истечении срока действия согласия,
- при отзыве согласия субъекта персональных данных на обработку его персональных данных,
- при ликвидации Общества,
- при выявлении неправомерной обработки персональных данных.
9.8. Уничтожение после окончания срока обработки персональных данных на электронных носителях осуществляется путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.9. Уничтожение после окончания срока обработки персональных данных на бумажных носителях осуществляется в соответствии с установленными в Обществе правилами документооборота и архивирования. Структурное подразделение Общества, ответственное за документооборот и архивирование, осуществляет периодический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
10.
Рассмотрение запросов субъектов персональных данных или их представителей 10.1. Субъекты персональных данных или их законные представители вправе получать информацию касательно обработки их персональных данных, в том числе:
- основания и цель обработки персональных данных;
- способы обработки персональных данных;
- сведения о лицах, которые имеют доступ к персональным данным;
- сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании законодательства Республики Таджикистан;
- перечень обрабатываемых персональных данных, источник их получения;
- сроки обработки персональных данных;
- информацию о трансграничной передаче персональных данных;
- другие сведения, предусмотренные законодательством Республики Таджикистан в сфере персональных данных, а также Законом Республики Таджикистан «О праве на доступ к информации».
10.2. Сведения, указанные в пункте 10.1. Политики, предоставляются субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.3. Сведения, указанные в пункте 10.1. Политики, предоставляются субъекту персональных данных или его представителю Обществом в течение трёх рабочих дней с момента обращения либо получения Обществом запроса субъекта или его представителя. Направить обращение или запрос можно по адресу местонахождения Общества, указанному в пункте 1.1. Политики, либо по электронному адресу: hr@somon.tj
Запрос должен содержать:
- серия и номер паспорта субъекта персональных данных или его законного представителя; дата выдачи паспорта и сведения выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его законного представителя.
10.4. В случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, Общество обязано предоставлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Таджикистан.
11. Отзыв согласия на обработку персональных данных Чтобы отозвать согласие на обработку персональных данных или получить информацию по вопросам персональных данных, субъекты персональных данных могут обратиться по адресу местонахождения Общества, указанному в пункте 1.1. Политики, либо по электронному адресу: hr@somon.tj
12. Внесение изменений в Политику 12.1. Общество периодически пересматривает настоящую Политику на предмет её актуальности и вправе обновлять Политику.
12.2. В случае, если Обществом были внесены любые изменения в Политику, с которыми субъект персональных данных не согласен, он вправе отозвать своё согласие на обработку персональных данных – за исключением случаев, когда Общество выполняет обработку данных на основании законодательства Республики Таджикистан (например, ведение кадрового документооборота в Обществе в соответствии, ведение документооборота в Обществе, выполнение обязанностей, предусмотренных законодательством в сфере бухгалтерского учёта, налоговой отчётности, переписка с государственными органами и предоставление ответов на запросы государственных органов; обеспечение безопасной деятельности Общества, и т.д.)