УТВЕРЖДЕНО
Генеральный директор
ООО «Парадокс»
Куликов Д.С.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ПАРАДОКС»

Термины, определения и сокращения
Таблица 1. Термины и определения
  1. Общие положения
Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с действующим законодательством Российской Федерации о персональных данных (далее - ПДн) и нормативно-методическими документами исполнительных органов власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах персональных данных (далее – ИСПДн).

Действие настоящей Политики по обработке ПДн распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств в рамках Общества с ограниченной ответственностью «Парадокс».

В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» к настоящей Политике обеспечен неограниченный доступ субъектов ПДн, в том числе путем публикации на сайте Общества в сети Интернет.
2. Принципы обработки персональных данных
Обработка ПДн в Обществе осуществляется в соответствии со следующими принципами:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только те ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений при обработке ПДн, если иное не предусмотрено федеральным законом.
3. Правовые основания обработки персональных данных
Общество осуществляет обработку ПДн на основании:

  • Трудового кодекса Российской Федерации;
  • Гражданского кодекса Российской Федерации;
  • Налогового кодекса Российской Федерации;
  • Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
  • Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федерального закона от 01.04.1996 № 27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
  • Приказа Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
  • Устава Общества;
  • Локальных нормативных актов Общества;
  • Договоров, заключаемого между Обществом и субъектом ПДн;
  • согласия субъекта ПДн на обработку ПДн;
  • Положения «Об обработке персональных данных в Обществе с ограниченной ответственностью «Парадокс»;
  • Договоров с контрагентами (в т.ч. поручений об обработке персональных данных по договору);
  • Договоров с лицензиатами ПО для ЭВМ «EasyDocs», в том числе поручений об обработке персональных данных в отношении Контента Пользователей;
  • Пользовательских соглашений c Обществом;
  • настоящей Политики.
3. Правовые основания обработки персональных данных
Общество осуществляет обработку ПДн на основании:

  • Трудового кодекса Российской Федерации;
  • Гражданского кодекса Российской Федерации;
  • Налогового кодекса Российской Федерации;
  • Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»;
  • Федерального закона от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
  • Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федерального закона от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
  • Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федерального закона от 01.04.1996 № 27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
  • Приказа Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
  • Устава Общества;
  • Локальных нормативных актов Общества;
  • Договоров, заключаемого между Обществом и субъектом ПДн;
  • согласия субъекта ПДн на обработку ПДн;
  • Положения «Об обработке персональных данных в Обществе с ограниченной ответственностью «Парадокс»;
  • Договоров с контрагентами (в т.ч. поручений об обработке персональных данных по договору);
  • Договоров с лицензиатами ПО для ЭВМ «EasyDocs», в том числе поручений об обработке персональных данных в отношении Контента Пользователей;
  • Пользовательских соглашений c Обществом;
  • настоящей Политики.
4. Условия обработки персональных данных
Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Обработка ПДн Обществом допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для исполнения договора и пользовательского соглашения, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора и пользовательского соглашения по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
  • базы данных, с использованием которых осуществляются запись, систематизация, накопление, хранение, уточнение (обновление, изменение), а также извлечение ПДн граждан Российской Федерации, находятся на территории Российской Федерации.

В случае, если обработка ПДн Обществом осуществляется в целях исполнения договора и пользовательского соглашения, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора/пользовательского соглашения по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем, заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.
Общество и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Обработка Обществом специальных категорий ПДн не производиться.
Обработка ПДн о судимости может осуществляться Обществом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка ПДн, разрешенных субъектом ПДн для распространения, может осуществляться Обществом только при наличии согласия субъекта ПДн.
Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
Общество не идентифицирует и не выделяет персональные данные в Контенте Пользователя. На Контент Пользователя распространяется режим безопасности в соответствии с Положением о защите конфиденциальной информации Общества.
При трансграничной передаче Общество обязано убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления такой передачи. Трансграничная передача ПДн Пользователей EasyDocs не производится.
Трансграничная передача ПДн на территории иностранных государств, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  • исполнения договора, стороной которого является субъект ПДн.
5. Цели обработки персональных данных
Обществом осуществляется обработка ПДн в различных целях.
В приложении А к настоящей Политике приведен перечень целей обработки ПДн в Обществе, для каждой цели обработки определены:

  • категории субъектов ПДн, ПДн которых обрабатываются в Обществе;
  • перечень ПДн;
  • категории ПДн;
  • способы обработки ПДн;
  • сроки обработки, в том числе сроки хранения ПДн;
  • порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.
6. Права субъектов персональных данных
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных», возлагается на Общество.
Субъект ПДн вправе требовать от Общества (посредством направления письменного запроса) уточнения своих ПДн, их блокирования или уничтожения в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Удаление ПДн Пользователя, Лицензиата EasyDocs производится самостоятельно посредством удаления соответствующего Личного кабинета(ов) EasyDocs. Контент Пользователя, созданный в результате использования EasyDocs может быть удален Лицензиатом.
Субъект ПДн имеет право на получение по письменному запросу информации, касающейся обработки его ПДн (если такое право не ограничено в соответствии с федеральными законами), в том числе содержащей:

  • подтверждение факта обработки ПДн Обществом;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые Обществом способы обработки ПДн;
  • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  • информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Обществом обязанностей, установленных ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.

Запросы субъектов ПДн оформляются в письменном виде и направляются в адрес Общества.
В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ оператора в установлении субъектом ПДн запретов и условий не допускается. Распространение ПДн Пользователей EasyDocs не производится.
В соответствии со статьей 16 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.
Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
Субъект ПДн имеет право на защиту своих прав и законных интересов.
7. Обязанности Общества
В соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Общество обязан:

  • предоставлять субъекту ПДн по его письменному запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
  • по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или уничтожать, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Либо обеспечить блокирование, удаление, уничтожение в случае, если обработка ПДн осуществляется другим лицом, действующим по поручению оператора;
  • по требованию субъекта ПДн или уполномоченных органов предоставлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных»;
  • уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, когда субъект ПДн уже уведомлен об осуществлении обработки его ПДн соответствующим оператором либо осуществляется обработка ПДн, разрешенных субъектом ПДн для распространения, с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»);
  • в случае достижения цели обработки ПДн, незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, в случае если обработка ПДн осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;
  • в случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПДн. Либо обеспечить прекращение обработки ПДн и их уничтожение, в случае если обработка ПДн осуществляется другим лицом, действующим по поручению оператора. Об уничтожении ПДн Общество обязано уведомить субъекта ПДн;
  • в случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн, в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных п. 2 - 11 ч. 1 ст. 6, частью 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
  • при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
  • в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, уведомить уполномоченный орган по защите прав субъектов ПДн;
  • обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
8. Меры по обеспечению безопасности персональных данных при их обработке
При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:

  • назначением должностных лиц, ответственных за организацию обработки и защиты ПДн;
  • ограничением состава лиц, имеющих доступ к ПДн;
  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • организацией учета, хранения и обращения носителей информации;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;
  • контролем доступа в помещения, в которых осуществляется обработка ПДн;
  • контролем эффективности применяемых мер и средств по обеспечению безопасности ПДн, а также контролем уровня защищенности ИСПДн.
9. Заключительные положения
Иные права и обязанности Общества как оператора ПДн определяются законодательством Российской Федерации в области ПДн.
Должностные лица Общества, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Настоящий документ должен пересматриваться и совершенствоваться на регулярной основе не реже, чем один раз в год, либо в случаях изменения требований законодательства Российской Федерации о ПДн и нормативно-методических документов исполнительных органов государственной власти по вопросам безопасности ПДн.
Внесение изменений в настоящий документ инициируется председателем правления Общества.
Ответственность за осуществление общего контроля выполнения требований настоящего документа, предоставление рекомендаций по их выполнению, поддержание документа в актуальном состоянии с учетом требований международных и национальных стандартов, а также законодательства Российской Федерации несет председатель правления Общества.
Приложение А. Описание целей обработки персональных данных
1 Сроки хранения архивных документов установлены разделом II Приказа Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»
2 Уничтожение ПДн осуществляется в следующих случаях:
  • достижения цели обработки ПДн (предельного срока архивного хранения);
  • по запросу субъекта ПДн, его представителя либо Роскомнадзора в случае выявления неправомерной обработки ПДн (когда обеспечить правомерность обработки ПДн невозможно);
  • отзыва субъектом ПДн согласия на обработку его ПДн;
  • обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн.
Порядок уничтожения ПДн регламентирован внутренними нормативными документами Общества.

https://docs.easydocs.ru/Politika_persdannie_EasyDocs_01.01.25.pdf