ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящая Политика в области обработки и защиты персональных данных группы компаний РЕГРО (далее — Политика) является документом, определяющим основы деятельности группы компаний РЕГРО при обработке и защите персональных данных.

Политика раскрывает правовые основания обработки персональных данных (ПДн), принципы и цели такой обработки, правила обработки, сведения о принимаемых мерах защиты персональных данных, информацию о правах субъектов персональных данных.

Положения настоящей Политики являются обязательными для исполнения всеми компаниями группы РЕГРО (далее — компания). Настоящая Политика подлежит размещению на официальном сайте группы компаний РЕГРО.

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания обрабатывает персональные данные в целях осуществления:

• трудовых отношений согласно трудовому договору и Трудовому Кодексу РФ;
• договорных отношений в рамках заключенных с контрагентами договоров, а также подготовки к заключению и реализации договоров;
• социальных программ, связанных с действующими работниками в целях обеспечения льгот и гарантий;
• совместных с учебными заведениями программ в области подготовки кадров, в том числе в отношении работников компании и других лиц;
• пропуска на территорию компании;
• воинского учета и бронирования на период мобилизации и на военное время граждан, пребывающих в запасе Вооруженных сил Российской Федерации;
• единой политики группы компаний РЕГРО по основным направлениям деятельности (в области кадров, антикоррупционной политики, политики в области охраны труда и промышленной безопасности и др.);
• политики сотрудничества с органами государственной власти и местными органами самоуправления;
• коммуникации с работниками, поставщиками, покупателями компаний;
• информирования работников о корпоративной жизни группы компаний РЕГРО;
• содействия работникам в организации внутренних коммуникаций;
• обеспечения доступа работников и контрагентов к ИТ-инфраструктуре группы компаний РЕГРО;
• содействия в трудоустройстве;
• ведения других видов деятельности в рамках законодательства Российской Федерации, с обязательным выполнением требований законодательства Российской Федерации и Европейского союза в области обработки и защиты персональных данных.

ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Содержание и объем обрабатываемых персональных данных

В рамках обработки персональных данных компания соответствуют заявленным целям их обработки. осуществляет сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление доступа ограниченному кругу лиц в соответствии с действующим законодательством), обезличивание, блокирование, удаление, уничтожение персональных данных.

СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств в соответствии с требованиями действующего законодательства.

Предоставление доступа к персональным данным регламентировано локальными нормативными актами компании и предоставляется только тем работникам, которым персональные данные необходимы для исполнения ими трудовых обязанностей.

Компания не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании автоматизированной обработки их персональных данных.

Компания вправе поручить обработку персональных данных другому лицу (обработчику) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, при условии обеспечения надлежащих гарантий применения соответствующих технических и организационных мер.

УСЛОВИЯ ПРЕКРАЩЕНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания прекращает обработку ПДн в следующих случаях:

• достижение целей обработки персональных данных или утраты необходимости в их достижении;
• получение соответствующего запроса от субъекта персональных данных;
• отзыв согласия субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);
• получение соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных.

ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания обеспечивает комплексную защиту персональных данных, опираясь на:

• российское и международное законодательство в области обеспечения безопасности персональных данных;
• характер, контекст и цели обработки персональных данных;
• принцип защищенности данных по умолчанию (Privacy by default) — компания внедряет организационные и технические меры, обеспечивающие контроль над тем, что по умолчанию в информационной системе выполняется минимальный объем обработки персональных данных, необходимый для достижения целей обработки; процессы и масштабы обработки персональных данных;
• экономическую оценку внедрения средств и способов защиты персональных данных;
• оценку рисков вероятности и тяжести возможных последствий для субъектов персональных данных (рисков случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к передаваемым, переданным или иным образом обработанным персональным данным);
• принцип запланированной защищенности данных (Privacy by design) — компания планирует соответствующие организационные и технические меры защиты персональных данных на стадии проектирования процессов обработки персональных данных. При выборе мер защиты принимает во внимание современное состояние развития техники, затраты на внедрение, а также характер, объем, контекст и цели обработки, в равной степени, как и риски для прав и свобод физических лиц.

Компания при обработке персональных данных для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает все необходимые правовые, организационные и технические меры.

ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

С целью эффективного функционирования процессов обработки персональных данных компания руководствуется следующими принципами:

• законность — обработка персональных данных осуществляется на законной и справедливой основе;
• беспристрастность и прозрачность — обработка персональных данных осуществляется беспристрастно и прозрачным образом в отношении субъекта персональных данных;
• ограничение целей обработки — обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, и в дальнейшем персональные данные не должны обрабатываться способами, несовместимыми с этими целями. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• минимизация обработки — содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, персональные данные являются адекватными по отношению к целям обработки;
• точность данных — в компании принимаются адекватные меры по обеспечению незамедлительного удаления или исправления персональных данных, которые являются неточными по отношению к целям их обработки;
• ограничение срока хранения — хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• конфиденциальность, целостность, доступность — персональные данные обрабатываются способом, гарантирующим обоснованный уровень их безопасности, который предполагает использование приемлемых и адекватных организационных и технических мер защиты от несанкционированной или незаконной обработки персональных данных и от случайной потери, разрушения или уничтожения данных;
• непрерывность повышения уровня знаний работников компании в сфере обеспечения безопасности персональных данных при их обработке;
• стремление к постоянному совершенствованию комплексной системы информационной безопасности, направленной в том числе на обеспечение безопасности персональных данных.

ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

Компания имеет право обрабатывать персональные данные в случае, если применимо одно из следующих оснований обработки:

• субъект персональных данных дал свое согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка необходима для осуществления законных интересов оператора или третьей стороны, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта персональных данных;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных имеет право:

• требовать от компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• обжаловать действия или бездействие компании как оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
• на получение информации, касающейся обработки его персональных данных.

В случае, если обработка персональных данных подпадает под действие GDPR, субъект персональных данных имеет право на:

• доступ к персональным данным — субъект имеет право запросить подтверждение факта обработки его персональных данных. В случае такой обработки субъект имеет право на ознакомление с обрабатываемыми персональными данными, а также информацией о целях обработки, категории обрабатываемых данных, действиях с данными, получателях данных и гарантиях при передаче данных третьим лицам, сроках обработки, источниках получения данных, наличии исключительно автоматизированного процесса принятия решений. Субъект также имеет право на получение перечня обрабатываемых персональных данных;
• исправление персональных данных — субъект имеет право потребовать исправить свои персональные данные в случае обнаружения неточностей в составе персональных данных. Принимая во внимание цели обработки, субъект имеет право на внесение дополнений в персональные данные, в том числе посредством предоставления дополнительного заявления;
• ограничение обработки персональных данных — субъект имеет право инициировать ограничение обработки всех или части своих персональных данных (при выполнении условий, определенных в GDPR);
• удаление персональных данных — субъект имеет право потребовать удалить свои персональные данные из систем компании и/или других имеющихся материальных источников (при выполнении условий, определенных в GDPR);
• переносимость данных — субъект имеет право запросить в структурированном, универсальном и машиночитаемом формате перечень своих персональных данных, предоставленных компании для обработки, и поручить компании передать свои персональные третьему лицу при наличии соответствующей технической возможности у компании. В данном случае компания не несет ответственности за действия третьего лица, совершенные в дальнейшем с персональными данными;
• возражение против обработки персональных данных — субъект данных имеет право возразить против обработки части или полного перечня своих персональных данных в целях, указанных при предоставлении в компанию своих персональных данных, кроме случаев, когда законные основания для обработки превалируют над интересами, правами и свободами субъекта данных или обработка необходима для обоснования, исполнения или ведения защиты по судебным искам;
• подачу жалобы в национальный надзорный орган — по месту постоянного пребывания на территории Европейского союза — субъект имеет право подать жалобу в надзорный орган, если компания каким-либо образом нарушает его права в области обработки персональных данных.

от 28.2019 г.