1. Введение и цели

Целью настоящей Политики в отношении обработки персональных данных ООО «Линки» (далее – «Политика») является формулировка основных принципов и подходов к обработке и защите персональных данных, обрабатываемых ООО «Линки» (далее - «Общество») в соответствии с требованиями законодательства Российской Федерации.

Политика распространяется на всех работников Общества (включая работников, с которыми заключены срочные трудовые договоры), задействованных в процессе обработки, в том числе при хранении персональных данных, и является обязательной для исполнения.

Положения настоящей Политики применяются в отношении персональных данных субъектов персональных данных, которые обрабатывает Общество.

2. Список терминов и определений:

3. Положения Политики

3.1 Правовые основания для обработки персональных данных субъектов:
• Конституция Российской Федерации:
• Трудовой Кодекс Российской Федерации;
• Налоговый Кодекс Россий Федерации;
• Гражданский Кодекс Российской Федерации;
• Семейный кодекс Российской Федерации;
• Федеральный закон от 26.12.1995г. №208-ФЗ «Об акционерных обществах»;
• Федеральный закон от 01.04.1996г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
• Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
• Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
• Иные нормативные акты органов власти Российской Федерации, в том числе, но не ограничиваясь, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, акты министерств Российской Федерации и органов власти субъектов Российской Федерации, а также акты иных органов власти;
• согласия субъектов персональных данных на обработку персональных данных;
• поручения на обработку персональных данных, полученные Обществом от операторов по обработке персональных данных в соответствии с требованиями ФЗ № 152;
• Договоры, заключаемые между Обществом и субъектом персональных данных.

3.2 Общество, в соответствии с основаниями, изложенными в п.3.1, осуществляет обработку персональных данных следующих категорий субъектов.
• Работники Общества;
• Уволенные работники Общества;
• Близкие родственники работников Общества;
• Соискатели;
• Кандидаты на работу в Общество;
• Стажеры/практиканты;
• Клиенты Общества – физические лица, индивидуальные предприниматели, лица, занимающие в установленном действующим законодательством порядке частной практикой;
• Представители и работники клиентов Общества;
• Бенефициарные владельцы, учредители, участники, акционеры, выгодоприобретатели, члены органов управления клиентов Общества – юридических лиц;
• Посетители сайта (или сайтов) Общества;
• Лица, обращающиеся в Общество за получением услуг.

3.3 Общество осуществляет обработку персональных данных в следующих целях:
• Обеспечение прав и свобод человека и гражданина обеспечение соблюдения законов и иных нормативных правовых актов, содействие в трудоустройстве, получение образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечение сохранности имущества Общества.
• Организация учета работников.
• Расчет и начисление заработной платы, исчисление и уплата пособия временной нетрудоспособности за счет средств работодателя и СФР РФ, предоставление различного вида льгот и гарантий в соответствии с законодательством РФ, а также локальными нормативными актами ООО «Линки», исчисление и уплата предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представление ООО «Линки» установленной законодательством РФ отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений о доходах в ФНС РФ, сведений в СФР РФ, предоставление сведений в иных случаях, предусмотренных федеральными законами и иными нормативно-правовыми актами РФ.
• Оформление страховыми компаниями добровольного медицинского страхования (полиса ДМС), иных страховых услуг.
• Оформление локальной зарплатной карты (обслуживания специального зарплатного счета).
• Архивное хранение.
• Организация (оформление) деловых поездок (командировок).
• Оформление доступа к сторонним информационным системам, программному обеспечению для выполнения служебных обязанностей.
• Обучение.
• Выполнение должностных обязанностей по взаимодействию работников ООО «Линки» с работниками контрагентов ООО «Линки», а также указанных в соглашениях, исполнение которых со стороны ООО «Линки» осуществляется с участием работника, в том числе осуществлению обмена электронными почтовыми сообщениями и организации телефонных разговоров в рамках должностных обязанностей.
• Продвижения услуг Общества и привлеченных им лиц.
• Исполнение Обществом возложенных на него в соответствии действующим законодательством РФ, договорами, внутренними процедурами Общества обязанностей, в том числе обязанности по обеспечению безопасности Клиента, Общества, работников Клиента и Общества, имущества Клиента и Общества.
• Предоставление Клиенту (представителю Клиента) информации об оказываемых Обществом услугах, предоставления Обществом консультационных услуг, в том числе в целях заключения Клиентом в дальнейшем договоров/соглашений с Обществом и/или иными лицами.
• Повышения осведомленности посетителей Сайта Общества о продуктах и услугах Общества.
• Предоставления релевантной рекламной информации и оптимизации рекламы на Сайте Общества.
• Совершенствования продуктов и услуг Общества.

3.4 Обработка специальной категории персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Обществе не осуществляется.

3.5 Обработка биометрических персональных данных в Обществе не осуществляется.

3.6 В Обществе назначается лицо, ответственное за организацию обработки персональных данных в Обществе.

3.7 Права субъектов персональных данных:

• В целях обеспечения защиты персональных данных, обрабатываемых в Обществе, субъект персональных данных или его представитель имеет право на получение информации, касающейся обработки его персональных данных. Перечень информации приведен в разделе 6.
• Субъект имеет право требовать от Общества уточнения его персональных данных или их блокирования в случае, если персональные данные являются неполными, устаревшими, неточными;
• Субъект имеет право отозвать свое согласие на обработку персональных данных и потребовать удалить свои персональные данные, если персональные данные больше не требуются для целей, в которых они были получены, и у Общества отсутствуют законные основания для обработки его персональных данных;
• Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

3.8 Основные обязанности Общества:
• Общество обязано опубликовать или иным образом обеспечить неограниченный и беспрепятственный доступ к настоящей Политике.
• Общество обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152 и принятыми в соответствии с ним нормативными правовыми актами.
• При сборе персональных данных Общество обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную в разделе 6.
• Общество обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если предоставление персональных данных и (или) получение Обществом согласия на обработку персональных данных являются обязательными.
• Общество обязано в течение десяти дней с момента получения запроса или обращения субъекта персональных данных или его представителя предоставить информацию о наличии персональных данных, относящихся непосредственно к этому субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными.
• Общество, при обработке персональных данных на основании поручения от оператора по обработке персональных данных обязано исполнять требования, установленные ФЗ № 152 для операторов по обработке персональных данных, обрабатывающих персональные данные на основании поручения на обработку персональных данных.

3.9 При обработке персональных данных субъектов Общество руководствуется следующими принципами:
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Объем и характер обрабатываемых персональных данных должны соответствовать целям их обработки. Недопустимо обрабатывать избыточные персональные данные, по отношению к заявленным целям обработки.
• все действия в отношении персональных данных в Обществе осуществляются таким образом, чтобы минимизировать возможность нанесения ущерба субъекту персональных данных. Для этого в Обществе реализуется комплекс мер, направленных на обеспечение безопасности конфиденциальной информации (включая персональные данные и иные виды защищаемой законом информации), а также специальных мер и средств обеспечения ИБ персональных данных.

3.10 Обработка персональных данных осуществляется только с конкретного, предметного, информированного, сознательного и однозначного согласия субъекта персональных данных и в порядке, установленном действующим законодательством РФ. Исключение составляют случаи, предусмотренные действующим законодательством РФ, в частности следующие:
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях. За исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, которая допускается только при условии предварительного согласия субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.

3.11 Основные принципы при обработке персональных данных на сайтах Общества информационно-телекоммуникационной сети Интернет:
• Общество может осуществлять сбор и иные действия по обработке персональных данных с использованием сайтов Общества в информационно - телекоммуникационной сети Интернет.
• Обработка персональных данных на сайтах Общества в информационно - телекоммуникационной сети Интернет может осуществляться с использованием Аналитических сервисов.
• Обработка персональных данных на сайтах Общества в информационно - телекоммуникационной сети Интернет осуществляется при наличии законных оснований.
• При сборе персональных данных посредством информационно-телекоммуникационной сети Интернет, Общество обязано обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.12 Общество не осуществляет трансграничную передачу персональных данных.

3.13 Общество вправе как поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, так и являться лицом, которому поручено осуществлять обработку персональных данных по поручению лиц, являющихся операторами по обработке персональных данных при наличии законных оснований, а также с учетом требований ФЗ № 152.

3.14 Обработка персональных данных в целях продвижения продуктов и услуг Общества путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных, при этом Общество должно иметь возможность доказать получение этого согласия. В случае соответствующего требования субъекта персональных данных, Общество обязано немедленно прекратить их обработку в указанных выше целях.

Любое предоставление персональных данных должно производиться исключительно с согласия субъекта персональных данных, если иное не установлено законодательством.

3.15 В случае, если Общество на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является перечень персональных данных, которые будут переданы лицу, осуществляющему обработку персональных данных на основании поручения, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке, также должны быть указаны требования, предусмотренные частью 5 статьи 18 и статьей 18.1 ФЗ № 152, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных законодательством РФ, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ №152.

4. Меры защиты, направленные на обеспечение безопасности при обработке персональных данных

4.1 В Обществе определены и внедрены правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.2 Обеспечение безопасности персональных данных достигается, в частности:
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• ознакомление работников Общества, осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации и требованиями НПА;
• включение положений по обеспечению безопасности персональных данных в договоры с третьими лицами, которым передаются персональные данные, в том числе требований не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.3 Обеспечение безопасности персональных данных при их обработке в информационных системах Общества осуществляется на всех стадиях жизненного цикла систем и состоит из согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, на минимизацию возможного ущерба, а также включает мероприятия по восстановлению данных и нормальному функционированию информационной системы в случае реализации угроз.

4.4 В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
• идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

5. Сроки обработки, хранения и уничтожения персональных данных

5.1 Обработка персональных данных в Обществе прекращается в следующих случаях:
• по достижении целей обработки персональных данных или при утрате необходимости в их достижении;
• по истечении срока обработки персональных данных, установленного при сборе персональных данных;
• по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при невозможности устранения допущенных нарушений при обработке персональных данных;
• при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
• при отзыве субъектом персональных данных согласия, если в соответствии с ФЗ-152 обработка персональных данных допускается только с его согласия.

5.2 Персональные данные хранятся в электронном виде и на бумажных носителях:
• в электронном виде персональные данные хранятся в информационных системах персональных данных;
• в бумажном виде персональные данные хранятся в составе документов, содержащих информацию о субъекте персональных данных.

5.3 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.4 Персональные данные субъекта персональных данных на бумажных носителях хранятся в течение сроков их хранения, утвержденных приказом Федерального архивного агентства от 20.12.2019 г. N 236.

5.5 Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.6 Когда цели обработки персональных данных достигнуты или субъект персональных данных отозвал согласие на обработку персональных данных, то персональные данные подлежат уничтожению, если иное не предусмотрено федеральным законом.

6. Взаимодействие с субъектами персональных данных

6.1 Запросы субъектов.

6.1.1 В соответствии с требованиями законодательства РФ от субъектов персональных данных или от их представителей, могут поступать следующие запросы, касающиеся обработки персональных данных:
• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ № 152;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 ФЗ № 152;
• заявление на прекращение обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
• заявление на отзыв согласия на обработку персональных данных;
• заявления по факту неправомерной обработки персональных данных;
• требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения.

6.1.2 Запросы могут поступать в Общество при личном посещении субъекта персональных данных (его представителя) Общества или путем направления в Общество Запроса в письменной форме или в форме электронного документа, поступившего на адрес электронной почты (info@linki.systems) и подписанного электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».

6.1.3 Рассмотрение запросов осуществляется в соответствии с внутренними документами.

6.1.4 Контроль за приемом и обработкой запросов осуществляется в целях соблюдения следующих требований:
• соблюдение прав и законных интересов субъектов персональных данных;
• обеспечение качества и полноты принятия мер по законному требованию субъекта персональных данных и предоставление необходимой информации по его обращению;
• соблюдение сроков обработки обращений, установленных законодательством Российской Федерации и предоставления ответов

6.1.5 Осуществление контроля за приемом и обработкой запросов субъектов персональных данных (или их представителей), возлагается на лицо, ответственное за организацию обработки персональных данных в Обществе.

6.2 Требования Общества к содержанию запросов субъектов персональных данных.

6.2.1 При Запросе субъект персональных данных или его представитель (необходимо предоставить доверенность, составленную в соответствии с требованиями законодательства Российской Федерации или иной документ, подтверждающий полномочия представителя согласно требованиям законодательства Российской Федерации) обязан предоставить следующую информацию:
• фамилия имя отчество (при наличии) субъекта персональных данных;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Обществе;
• реквизиты документа, удостоверяющего личность субъекта персональных данных (серия, номер, сведения о дате выдаче и выдавшем органе);
• собственноручная или электронная подпись в зависимости от формы подачи Запроса;
• суть обращения.

6.3 Порядок выполнения запросов субъектов персональных данных.

6.3.1 Срок формирования ответа на Запрос и его передача субъекту персональных данных не должен превышать 10 (десяти) рабочих дней с даты получения обращения или Запроса субъекта персональных данных или его Представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации

6.3.2 В случае отказа в предоставлении информации субъекту персональных данных или его Представителю о наличии персональных данных о таком субъекте при их обращении либо при получении Запроса, Общество обязано дать мотивированный ответ в письменной форме, содержащий ссылку на основания, либо положения федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его Представителя либо с даты получения Запроса субъекта персональных данных или его Представителя.

6.3.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
• Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• предоставление субъекту персональных данных сведений об Обработке его персональных данных нарушает права и законные интересы третьих лиц.