Политика обработки персональных данных

ПОЛИТИКА

в отношении обработки персональных данных

в ООО «Таймбук»

1.Общие положения

1.1.Настоящая Политика в отношении обработки персональных данных (далее – Политика) в ООО «Таймбук» (далее – Компании), разработана в соответствии с положениями Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ), и принятыми в соответствии с ним иными нормативными правовыми актами.

1.2.Целью разработки настоящей Политики является определение принципов, особенностей обработки и обеспечения безопасности персональных данных, обрабатываемых в Компании.

1.3.Сведения об операторе персональных данных.

Оператором персональных данных является Общество с ограниченной ответственностью «Таймбук» (ООО «Таймбук»), ИНН: 5259103676, ОГРН 1125259005190

Юридический/почтовый адрес Оператора: 603022, г. Нижний Новгород, ул. Тимирязева, д. 35, помещение 11.3.

Ответственным за организацию обработки персональных данных является Генеральный директор ООО «Таймбук».

По всем вопросам и замечаниям в части обработки персональных данных в ООО «Таймбук» Вы можете обратиться с письмом к Генеральному директору Компании по адресу электронной почты: legal@timebook.ru (c темой письма «Обработка персональных данных»).

1.4.Порядок ввода в действие, ознакомления с Политикой.

Политика утверждается и вводится в действие Генеральным директором Компании.

Действие политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.

К настоящей Политике имеет доступ любой субъект персональных данных. Политика публикуется на официальном сайте Компании.

2.Цели и условия обработки персональных данных

2.1.Цели обработки персональных данных Компанией, как Оператором персональных данных, а также категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных для каждой цели приведены в таблице:

Цель 1: Обеспечение соблюдения трудового законодательства, в том числе ведение кадрового и бухгалтерского учета в отношении сотрудников
1.	Основания для обработки персональных данных	— согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ); — для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ); — в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации в отношении специальных категорий персональных данных (п. 2.3 ч. 2 ст. 10 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Работники Компании, уволенные работники Компании: Иные категории персональных данных: — фамилия, имя, отчество (в том числе сведения о смене фамилии, имени, отчества); — пол; — дата рождения; — место рождения; — социальное положение; — доходы; — семейное положение; — имущественное положение; — адрес места жительства; — адрес регистрации; — номер телефона; — адрес электронной почты; — СНИЛС; — ИНН; — гражданство; — данные документа, удостоверяющего личность; — должность; — профессия; — сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); — сведения о кадровых перемещениях; — отношение к воинской обязанности, сведения о воинском учете; — сведения об образовании (специальность, ученые степени и звания, квалификация); — сведения о награждениях и поощрениях; — табельный номер; — сведения страхового медицинского полиса обязательного (добровольного) медицинского страхования; — номер расчетного счета, реквизиты банковской карты, номер лицевого счета; — фотография; — информация об отнесении к льготным категориям граждан. Специальные категории персональных данных: — сведения о состоянии здоровья (в случае необходимости предоставления дополнительных гарантий, льгот). Родственники работников Компании: Иные категории персональных данных: — фамилия, имя, отчество (в том числе сведения о смене фамилии, имени, отчества); — пол; — дата рождения; — степень родства; — СНИЛС; — данные документа, содержащиеся в свидетельстве о рождении; — данные свидетельства о браке; Специальные категории персональных данных: — сведения о состоянии здоровья (в случае необходимости предоставления дополнительных гарантий, льгот).
3.	Категория субъектов персональных данных	— работники Компании; — уволенные работники Компании; — родственники работников Компании.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, осуществляется путем: получения оригиналов необходимых документов; копирования оригиналов документов; внесения сведений в учетные формы (на бумажных и электронных носителях); формирования персональных данных в ходе кадровой работы; внесения персональных данных в информационные системы для кадрового делопроизводства, учета рабочего времени.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет
6.	Способы хранения персональных данных	персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Таймбук», расположенном по адресу: г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3; ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу 196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11; на рабочих станциях сотрудников, ответственных за ведение кадрового делопроизводства и ведение бухгалтерского учета.
7.	Срок хранения персональных данных	— до достижения целей обработки; — 50 лет с момента прекращения трудовых отношений; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 2: Обеспечение добровольного медицинского страхования
1.	Основания для обработки персональных данных	— согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — фамилия, имя, отчество (в том числе сведения о смене фамилии, имени, отчества); — пол; — дата рождения; — адрес места жительства; — адрес регистрации; — номер телефона; — адрес электронной почты; — сведения страхового медицинского полиса добровольного медицинского страхования; — степень родства.
3.	Категория субъектов персональных данных	— работники; — родственники работников Компании, в отношении которых заключен договор на добровольное медицинское страхование.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Таймбук», расположенном по адресу: г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3; на рабочих станциях сотрудников, ответственных за организацию добровольного медицинского страхования.
7.	Срок хранения персональных данных	— до достижения целей обработки; — до прекращения действия договора на добровольное медицинского страхование; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 3: Учет рабочего времени работников Компании в ПО timebook
1.	Основания для обработки персональных данных	— согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — фамилия, имя, отчество; — дата трудоустройства; — адрес электронной почты; — наименование организации, объекта, в котором выполняется работа; — должность; — фотография.
3.	Категория субъектов персональных данных	— работники Компании; — уволенные работники Компании.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	с использованием средств автоматизации; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	персональные данные в электронном виде подлежат хранению в ЦОД ООО «Таймбук», расположенном по адресу: г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3; ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11; на рабочих станциях сотрудников, ответственных за фиксирование рабочего времени.
7.	Срок хранения персональных данных	— до достижения целей обработки; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 4: Подбор персонала (соискателей) на вакантные должности Компании
1.	Основания для обработки персональных данных	— согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ); — для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — фамилия, имя, отчество (в том числе сведения о смене фамилии, имени, отчества); — пол; — дата рождения; — адрес места жительства; — семейное положении; — номер телефона; — адрес электронной почты; — гражданство; — данные документы, удостоверяющего личность; — профессия; — сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); — сведения об образовании.
3.	Категория субъектов персональных данных	— соискатели.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Таймбук», расположенном по адресу: г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3; на рабочих станциях сотрудников, ответственных за подбор персонала.
7.	Срок хранения персональных данных	— до достижения целей обработки; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 5: Подготовка, заключение и исполнение гражданско-правового договора
1.	Основания для обработки персональных данных	для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: 1) для контрагентов-индивидуальных предпринимателей: — фамилия, имя, отчество; — ИНН; — ОГРНИП; — адрес места жительства; — адрес регистрации; — данные документа, удостоверяющего личность; — номер телефона; — адрес электронной почты; — номер расчетного счета, реквизиты банковской карты, номер лицевого счета. 2) для физических лиц, с которыми заключены гражданско-правовые договоры: — фамилия, имя, отчество; — ИНН; — СНИЛС; — дата рождения; — место рождения; — адрес места жительства; — адрес регистрации; — гражданство; — данные документа, удостоверяющего личность; — номер телефона; — адрес электронной почты; — номер расчетного счета, реквизиты банковской карты, номер лицевого счета. 3) для представителей контрагентов: — фамилия, имя, отчество; — должность; — наименование организации; — номер телефона; — адрес электронной почты.
3.	Категория субъектов персональных данных	— контрагенты — индивидуальные предприниматели; — физические лица, с которыми заключены гражданско-правовые договоры; — представители контрагентов.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	Персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Таймбук», расположенном по адресу: г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3; ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11; на рабочих станциях сотрудников, ответственных за ведение бухгалтерского учета, правовую экспертизу договоров гражданско-правового характера, за исполнение договоров гражданско-правового характера.
7.	Срок хранения персональных данных	— до достижения целей обработки; — 3 года после дня истечения срока действия гражданско-правового договора; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 6: Обеспечение обратной связи с посетителем сайта Компании
1.	Основания для обработки персональных данных	согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — фамилия, имя, отчество; — адрес электронной почты; — номер телефона; — наименование компании.
3.	Категория субъектов персональных данных	— посетители сайта, заполнившие форму обратной связи.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11; на рабочих станциях сотрудников, ответственных работу с клиентами.
7.	Срок хранения персональных данных	— до достижения целей обработки (до решения вопроса по обращению); — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 7: Оптимизация, улучшение качества и безопасности веб-сайтов https://wfm.timebook.ru/ и https://timebook.ru/
1.	Основания для обработки персональных данных	согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — содержащаяся в cookie-файлах информация об уникальном gid, дате и времени обращения пользователя к веб-сайту, IP-адресе, наименовании и версии используемого браузера, типе и интерфейсе используемой операционной системы, адресе запрашиваемых страниц и ответах веб-сайта на данные запросы. Виды, обрабатываемых cookie-файлов: — «cookieyes-consent» — сохраняет состояние согласия пользователя на использование файлов cookie для текущего домена; — «elementor» — позволяет Компании внедрять или изменять содержимое веб-сайта в режиме реального времени; — «wc_cart_hash_#» — необходим для работы личного кабинета; — «wc_fragments_#» — хранит информацию о входе посетителей, поэтому им не нужно снова осуществлять вход после закрытия браузера.
3.	Категория субъектов персональных данных	— посетители сайта.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	с использованием средств автоматизации; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11; на рабочих станциях сотрудников, осуществляющих анализ работы сайта.
7.	Срок хранения персональных данных	— до достижения целей обработки; — cookie-файлы «cookieyes-consent» — 1 год (или до удаления пользователем, срок хранения на устройстве пользователя может отличаться); — cookie-файлы «elementor», «wc_cart_hash_#» — постоянно (или до удаления пользователем, срок хранения на устройстве пользователя может отличаться); — cookie-файлы «wc_fragments_#» — в течение сессии.
8.	Порядок уничтожения персональных данных	уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.
Цель 8: Информирование посетителей веб-сайта о сотрудниках Компании
1.	Основания для обработки персональных данных	с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч. 1 ст. 10.1 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	Иные категории персональных данных: — фамилия, имя; — должность, профессия; — информация о кадровых перемещениях; — информация об образовании; — фотография.
3.	Категория субъектов персональных данных	— работники Компании, информация о которых размещена на веб-сайте Компании.
4.	Перечень действий с персональными данными	сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	смешанная: с использованием средств автоматизации и без использования таких средств; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
6.	Способы хранения персональных данных	персональные данные на материальных носителях подлежат хранению в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа. Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11.
7.	Срок хранения персональных данных	— до достижения целей обработки; — до окончания срока действия трудового договора; — до отзыва субъектом персональных данных согласия, если иное не предусмотрено ФЗ № 152-ФЗ.
8.	Порядок уничтожения персональных данных	по истечении периода хранения документы подлежат уничтожению в течение 30 календарных дней. Персональные данные на материальных носителях подлежат уничтожению путем разрезания, сжигания и иного механического уничтожения, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

2.2. Цели обработки персональных данных Компанией по поручению контрагентов

Цель 1: Предоставление доступа и возможности использования программы для ЭВМ «Система учета рабочего времени timebook» (исполнение обязательств по договорам оказания услуг по предоставлению доступа/по лицензионным договорам на предоставление прав на программу для ЭВМ «Система учета рабочего времени timebook»)
1.	Основания для обработки персональных данных	поручение на обработку персональных данных (ч. 3 ст. 6 ФЗ № 152-ФЗ).
2.	Категории и перечень персональных данных	1) Обязательные персональные данные (необходимые для корректной работы программы): Иные категории персональных данных: — фамилия, имя, отчество; — дата приема на работу; — наименование организации, объекта, в котором выполняется работа; — должность. 2) Факультативные персональные данные. Оператор персональных данных вправе увеличить объем персональных данных, обрабатываемых по поручению (с учетом используемого функционала программы и характера осуществляемой деятельности). В поручение могут быть включены следующие персональные данные: Иные категории персональных данных: — пол; — дата рождения; — номер телефона; — адрес электронной почты; — СНИЛС; — ИНН; — гражданство; — данные документа, удостоверяющего личность; — данные документа, удостоверяющего личность за пределами РФ (для иностранных граждан); — табельный номер; — стаж работы, сведения о кадровых перемещениях в рамках организации; — сведения о документах, являющихся основанием для осуществления деятельности сотрудника (трудовые/гражданско-правовые договоры, лицензии, удостоверения, разрешения на работу и т.д.); — данные документов, подтверждающих отсутствие на рабочем месте (приказов о предоставлении отпусков, листков о временной нетрудоспособности и др.); — сведения о геолокации в рабочее время (в том числе во время начала/окончания рабочего времени); — адрес места жительства; — адрес регистрации; — фотография. Специальные категории персональных данных: — сведения о состоянии здоровья (наличие инвалидности, сертификат о вакцинации, данные личной медицинской книжки, сведения о прохождении обязательного медицинского осмотра, психиатрического освидетельствования).
3.	Категория субъектов персональных данных	— работники контрагентов; — физические лица, с которыми контрагенты заключили гражданско-правовые договоры (точный перечень определяется оператором в поручении на обработку персональных данных).
4.	Перечень действий с персональными данными	определяется Оператором персональных данных в поручении на обработку персональных данных. Примерный перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Трансграничная передача персональных данных не осуществляется.
5.	Способы обработки персональных данных	с использованием средств автоматизации; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
6.	Способы хранения персональных данных	Персональные данные в электронном виде подлежат хранению в ЦОД ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, место нахождения 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, литера А), расположенном по адресу196084 г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11.
7.	Срок хранения персональных данных	определяется Оператором персональных данных в поручении на обработку персональных данных. Как правило, составляет три месяца после прекращения действия договора оказания услуг по предоставлению доступа к программе для ЭВМ «Система учета рабочего времени timebook»/лицензионного договора на предоставление прав на про-грамму для ЭВМ «Система учета рабочего времени timebook». По требованию Оператора персональные данные удаляются в срок, определенный Оператором.
8.	Порядок уничтожения персональных данных	уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

3.Принципы обработки персональных данных

3.1.Обработка персональных данных в Компании осуществляется на законной и справедливой основе в соответствии со следующими принципами:

− ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей;

− недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;

− недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

− обработка только тех персональных данных, которые отвечают целям их обработки;

− соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

− недопущение обработки избыточных персональных данных по отношению к заявленным целям их обработки;

− обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных, принятие необходимых мер, либо обеспечение их принятие по удалению или уточнению неполных, или неточных данных;

− хранение персональных данных осуществляется по форме, позволяющей определить субъекта данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

− уничтожение персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

4.Права субъекта персональных данных и обязанности оператора по реализации данных прав

Права субъекта персональных данных	Содержание права	Обязанности оператора по реализации права
Право на доступ к персональным данным	Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: — подтверждение факта обработки персональных данных оператором; — правовые основания и цели обработки персональных данных; — цели и применяемые оператором способы обработки персональных данных; — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; — обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; — сроки обработки персональных данных, в том числе сроки их хранения; — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; — информацию об осуществленной или о предполагаемой трансграничной передаче данных; — наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; — информацию о способах исполнения оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152-ФЗ; — иные сведения, предусмотренные ФЗ № 152-ФЗ или другими федеральными законами. Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.	Оператор обязан предоставить сведения субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Право на уточнение, блокирование, уничтожение персональных данных	Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.	В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Право на обработку персональных данных с целью продвижения товаров, работ, услуг на рынке, а также в целях политической агитации при условии предварительного согласия	Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.	Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в указанных целях.
Право не быть объектом исключительно автоматизированного решения	Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.	Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Право на отзыв согласия на обработку персональных данных	Субъект персональных данных вправе отозвать согласие на обработку персональных данных.	В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ № 152-ФЗ или другими федеральными законами. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Право на обжалование действий и бездействия оператора	Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований ФЗ № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.Сведения об обеспечении безопасности персональных данных при их обработке

5.1. Оператором предусмотрено принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, в отношении обработки персональных данных. Оператором определены состав и перечень мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, необходимых и достаточных для обеспечения выполнения обязанностей, в частности:

назначение лица, ответственного за организацию обработки персональных данных;

издание документов, определяющие политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152-ФЗ;

ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и проводится обучение указанных работников.

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учет машинных носителей персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

выполнение требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

применение средств защиты информации в информационных системах персональных данных, прошедших в установленном порядке процедуру оценки соответствия;

5.2.Обработка персональных данных граждан Российской Федерации осуществляется с использованием баз данных, находящихся на территории Российской Федерации. Адреса ЦОД:

г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3, ООО «Таймбук» (ИНН 5259103676, ОГРН 1125259005190, г. Нижний Новгород, ул. Тимирязева, д. 35, пом. 11.3);

г. Санкт-Петербург, ул. Коли Томчака, д. 28, лит. К, помещение № 28, стойка 4.2.11, ООО «Селектел» (ИНН 7842393933, ОГРН 1089847357126, г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А).

6.Контроль и надзор за обработкой персональных данных

6.1 Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).

6.2 Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Оператор обязан представить документы и локальные акты, подтверждающие принятие мер, направленных на обеспечение выполнения Оператором обязанностей, предусмотренных ФЗ № 152-ФЗ, и (или) иным образом подтвердить принятие таких мер по запросу Роскомнадзора.

6.3. Управление Роскомнадзора по Нижегородской области

Адрес: 603001, Нижний Новгород, Зеленский съезд, д.4

Телефон: (831) 435-16-77

Факс: (831) 435-16-96

E-Mail: rsockanc52@rkn.gov.ru

7.Заключительные положения

7.1.Настоящая Политика изменяется и дополняется в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, а также в случае выявления несоответствий положений настоящей Политики, принципам обработки персональных данных в Компании и изменению во внутренних процессах Компании.

7.2.Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Компании.