Правила обработки персональных данных
Настоящие Правила обработки персональных данных (далее – Правила) ГК «Элефант» (далее – Оператор) определяют - цели и порядок, условия обработки, объем и категории обрабатываемых Персональных данных, категории субъектов Персональным данным, ответы на запросы субъектов на доступ к Персональным данным, меры, реализуемые для обеспечения безопасности Персональных данных при их обработке Оператором.

1.     Цели и принципыобработки Персональных данных1.1. Персональные данныеобрабатываются Оператором в следующих целях:
- обеспечение соблюдения  нормативных  правовых   актов                        Российской   Федерации, и локальных нормативных актов Оператора;
- осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;
- осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора;
- регулирование трудовых   отношений   с    работниками                             Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых поездок, организация питания, прохождения медицинских осмотров, санаторно- курортного лечения, участия в корпоративных мероприятиях, предоставление налоговых вычетов);
- предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
- оформление договоровДМС;
- начисления заработной платы работников;
- наделение работников определенными полномочиями (оформление доверенностей); 
- подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами, заключаемыми Оператором с контрагентами;
- предоставление пользователям возможности по передачеотчетности по телекоммуникационным каналам связи;
- предоставление пользователям возможности пользоваться сервисами: электронная отчетность, электронный документооборот и пр.;
- изготовление и хранение сертификатов ключей проверки ЭП, изготовление списка отзывов сертификатов, ведение реестра выданныхи аннулированных сертификатов;
- создание и поддержание положительного имиджа компании;
- реклама, промо-акции.
1.2.   Принципы обработки Персональных данных:
- обработка Персональных данных осуществляется на основе общих принципов:
- законности заранее определенных конкретных целей и способов обработки Персональных данных;
- обеспечения надлежащей защиты Персональных данных;
- соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе Персональных данных;
- соответствия объема, характера и способов обработки Персональных данных целям обработки Персональных данных;
- достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
- хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем того требуют цели обработки;
- уничтожение Персональных данных по достижении целей обработки, если срок хранения Персональных данных не установлен законодательством РФ;
- обеспечения конфиденциальности и безопасности обрабатываемых Персональных данных.
1.3.  Правовые основанияобработки Персональных данных:
Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Положение о воинском учете, утвержденное Постановлением Правительства РФ от 27.11.2006 № 719, Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», Договоры, заключаемые между оператором и субъектом Персональных данных, согласие на обработку Персональных данных, иные федеральные законы и нормативно-правовые акты.

2.      Категории субъектов, Персональных данных которых обрабатываются ОператоромК категориямсубъектов относятся:
- работники ГК «Элефант» (в том числе уволенные) и работники сторонних организаций, с которыми заключено соглашение о сотрудничестве или партнерстве, кандидаты на замещение вакантных должностей, а также родственники работников;
- контрагенты Оператора(физические лица и индивидуальные предприниматели); представители/работники клиентов и контрагентов Оператора (юридических лиц);
- иные лица;

3. Перечень Персональных данных, обрабатываемых в ГК «Элефант»  3.1.   Перечень Персональных данных определяется в приложении № 1 к настоящим правилам, законодательством Российской Федерации и локальными нормативными актами Оператора.
3.2.    Обработка специальных категорий Персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических Персональных данных Оператором не осуществляется.
3.3.    В целях идентификации web-портала https://elf74.ru поисковыми системами, а также учета частоты посещения страниц данный web-портал Оператор использует технологии cookies. В момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды, передает в них информацию о факте посещения страницы, о временипосещения и временинахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP- адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений.


Обработка Персональных данных осуществляется в целях улучшения работы сайта Оператора, совершенствования программных продуктов и услуг Оператора, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Оператора.

4.  Трансграничная передачаПерсональных данных4.1. Оператор не производит трансграничную передачу Персональных данных.

5.  Перечень действий, совершаемых оператором с персональными данными5.1. Оператор осуществляет:
сбор;
систематизацию; накопление;
хранение;
уточнение (обновление, изменение); использование;
передачу (предоставление, доступ); блокирование;
удаление, уничтожение Персональных данных.
 
6.  Способы обработки Персональных данных Оператором
 
6.1. В зависимости от информационной системы, используемой Оператором, обработка Персональных данных может осуществляться путем:
- смешанной обработки с передачей по внутренней сети Оператора с передачей по сети интернет;
- автоматизированной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;
- смешанной обработки без передачи по внутренней сети Оператора без передачи по сети интернет.
 
7. Сроки обработки Персональных данных
7.1. Обработка Персональных данных Оператором, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством, а также локальными нормативными актами.
 

8. Порядок и условия обработки Персональных данных

 
8.1.     Обработка Персональных данных Оператором осуществляется с согласия субъекта Персональных данных на обработку его Персональных данных, если иное не предусмотрено законодательством Российской Федерации в области Персональных данных.
8.2.     Оператор без согласия субъекта Персональных данных не раскрывает третьим лицам и не распространяет Персональные данные, если иное не предусмотрено федеральным законом.
8.3.     В целях информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные Персональные данные, сообщаемые субъектом Персональных данных.
8.4.     Доступ к обрабатываемым Оператором Персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей ГК
«Элефант», при замещении которых осуществляется обработка Персональных данных.
8.5.     Оператор осуществляет передачу Персональных данных государственным органам в рамках и в соответствии с законодательством РФ.
8.6.     Оператор вправе передавать Персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.7.     Доступ к обрабатываемым Персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением7 принципов персональной ответственности.
8.8.     Оператор обеспечивает раздельное хранение Персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории Персональных данных.
8.9.     Хранение материальных носителей Персональных данных осуществляется Оператором с соблюдением условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный доступ к ним.
8.10.   При достижении целей обработки Персональных данных, а также в случае отзыва Субъектом Персональных данных согласия на их обработку Персональных данных подлежат уничтожению, если:
иное не предусмотрено договором;
Оператор не вправе осуществлять обработку без согласия Субъекта Персональных данных на основаниях, предусмотренных федеральным законом 152-ФЗ или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и Субъектом Персональных данных.
8.11.   Обработка Персональных данных осуществляется с соблюдением конфиденциальности.

9.        Порядок и условия обработки Персональных данных в информационных системах

9.1.     Обработка Персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности Персональных данных,определённых с учетомактуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах.

10.      Особенности обработки Персональных данных, разрешенных субъектом Персональных данных для распространения

10.1.   Оператор в рамках своей деятельности может осуществлять распространение Персональных данных субъекта Персональных данных при наличии соответствующего согласия субъекта Персональных данных, полученного в строгом соответствии с требованиями статьи 10.1 федерального закона 152-ФЗ.
10.2.   Согласие на обработку Персональных данных, разрешенных субъектом Персональных данных для распространения, оформляется отдельно от иных согласий. Субъект Персональных данных самостоятельно может определить категории и перечень Персональных данных, разрешенных для распространения.
10.3.   В согласии на обработку Персональных данных, разрешенных субъектом Персональных данных для распространения, субъект Персональных данных вправе установить условия и запреты, накладываемые на перечень и категории Персональных данных разрешенных субъектом Персональных данных для распространения.
10.4.   Распространение Персональных данных производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет».

11.      Права и обязанности субъектов Персональных данных

11.1.   Субъекты Персональных данных имеют право на:
- полную информацию об их Персональных данных, обрабатываемых Оператором;
- доступ к своим Персональным данным, включая право на получение копии любой записи, содержащей их Персональные данные, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- уточнение своих Персональных данных, их блокирование или уничтожение в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку Персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия Оператором, осуществляемого с нарушением
требований законодательства Российской Федерации в области Персональных данных, в уполномоченный орган по защите прав субъектов Персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
11.2.   Для безопасной работы субъект Персональных данных /пользователь должен следовать следующим рекомендациям:
- использовать на рабочем месте исключительно лицензионное программное обеспечение;
- устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
- устанавливать          и        регулярно      обновлять           лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;
- не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;
- не передавать кому-либо токены для авторизации на портале, либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.
11.3.   При использовании Субъектом Персональных данных функционала программного обеспечения Оператора может применяться технология cookies. Субъект Персональных данных вправе ограничить или запретить использование технологии cookies путем применения соответствующих настроек в браузере.

12. Обеспечение защиты Персональных данных при их обработке Оператором

12.1. Оператор принимает меры, необходимые и достаточные для обеспечения защиты Персональных данных. К таким мерам относятся:
- назначение  Оператором  ответственного         за        обработку           Персональных данных и ответственного за безопасность при обработке Персональных данных;
- издание Оператором документов, определяющих политику оператора в отношении обработки Персональных данных, локальных нормативных актов по вопросам обработки Персональных данных, а также локальных нормативных актов;
- установление запрета на передачу Персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности Персональных данных хранение материальных носителей Персональных данных с соблюдением условий, обеспечивающих
сохранность Персональных данных и исключающих несанкционированный доступ к ним;
- получение согласий субъектов Персональных данных на обработку их Персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- осуществление внутреннего контроля и (или) аудита в отношении обработки Персональных данных;
- определение оценки вреда, который может быть причинен субъектам Персональных данных;
- организация обучения и проведение методической работы с работниками Оператора, занимающими должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка Персональных данных;
- ознакомление сотрудников Оператора, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, локальными актами по вопросам обработки Персональных данных, и (или) обучение указанных сотрудников.

13. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Оператора в области обработки Персональных данных

 

13.1. Контроль осуществляется лицом, ответственным за организацию обработки Персональных данных в ГК «Элефант», а в обособленных подразделения Оператора – лицами, назначенными таковыми.

14.      Актуализация, исправление, уничтожение Персональных данных

 
14.1.   В случае предоставления субъектом Персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных Персональных данных Оператор обязан принять меры:
- в случае подтверждения факта недостоверности Персональных данных: Персональные данные подлежат их актуализации оператором;
- в случае неправомерности их обработки такая обработка должна быть прекращена.
14.2.   При достижении целей обработки Персональных данных, а также в случае истечения срока согласия на обработку Персональных данных или отзыва субъектом Персональных данных согласия на их обработку Персональных данных подлежат уничтожению, если иное не предусмотрено договором, выгодоприобретателем или поручителем по которому является субъект Персональных данных;
14.3. Оператор не вправе осуществлять обработку без согласия субъекта Персональных данных на основаниях, предусмотренных Федеральным законом 152-ФЗ или иными федеральными законами, если это не предусмотрено иным соглашением между оператором и субъектом Персональных данных.

15.      Порядок рассмотрения запросов субъектов Персональных данных

15.1.   Порядок рассмотрения запросов:
15.1.1. При поступлении запроса субъекта Персональных данных или его представителя сотрудник Оператора обязан зарегистрировать запрос в «Журнале учета обращений граждан (субъектов Персональных данных) по вопросам обработки Персональных данных».
15.1.2. Датой поступления запроса субъекта Персональных данных Оператору считается дата регистрация данного запроса в качестве входящей корреспонденции в «Журнале учета обращений граждан (субъектов Персональных данных) по вопросам обработки Персональных данных».
15.1.3. Срок регистрации запроса составляет 3 рабочих дня со дня получения запроса Оператором.
15.1.4. С даты регистрации запроса субъекта Персональных данных, данный запрос передается ответственному сотруднику Оператора для рассмотрения по существу.
15.1.5. Сотрудник Оператора сверяет сведения в запросе субъекта Персональных данных с предоставленными ему документами. Субъект Персональных данных или его представитель имеет право получение информации, касающейся обработки его Персональных данных, в том числе содержащей:
- подтверждение обработки Персональных данных, а также правовые основания и цели такой обработки;
- способы обработки Персональных данных;
- сведения о лицах, которые имеют доступ к Персональных данных;
- перечень обрабатываемых Персональных данных и источник их получения; сроки обработки Персональных данных, в том числе сроки их хранения;
- информацию о мерах, предпринятых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных 152-ФЗ.
15.1.6. Запросы субъектов Персональных данных, касающиеся обработки Персональных данных Оператором, в том числе запросы на уничтожение или уточнение Персональных данных, рассматриваются в сроки, установленные Федеральным законом 152-ФЗ и исчисляются с даты регистрации запроса субъекта Персональных данных или его представителя.
15.1.7. Оператор предоставляет сведения, указанные в п. 15.1.5. настоящих Правил субъекту Персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
15.2.   Требования к оформлению запросов от субъектов Персональных данных.
15.2.1. Запрос субъекта Персональных данных или его представителя подается в письменной форме одним из следующих способов:
по почте в адрес Оператора: г. Челябинск, ул. Образцова, д. 24;
по электронной почте: all_elephant@mail.ru
15.2.2. Запрос на получение информации, касающейся обработки Персональных данных, перечисленной в п. 7 ст. 14 Федерального закона 152-ФЗ, предоставляется субъектом Персональных данных в произвольной форме и должен содержать следующие необходимые сведения о субъекте Персональных данных:
- номер основного документа, удостоверяющего личность субъекта Персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта Персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки Персональных данных Оператором, подпись субъекта Персональных данных или его представителя.
15.2.3. Запрос/требование на прекращение передачи (распространение, предоставление, доступ) Персональных данных, разрешенных субъектом Персональных данных для распространения, должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта Персональных данных, перечень Персональных данных, обработка которых подлежит прекращению, а также информационный ресурс, на котором они размещены.
15.2.4. К обработке принимаются запросы, оформленные в соответствии с требованиями действующего законодательства.

16.      Заключительные положения

16.1. Настоящие правила вступают в силу с даты их утверждения.

Приложение № 1

к Правилам обработки персональных данных

 

Перечень категорий обрабатываемых Персональных данных, перечень обрабатываемых Персональных данных и категорий субъектов Персональных данных, данные которых обрабатываются