Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика (далее — Политика) определяет принципы, порядок и условия обработки персональных данных в ООО «НПП «Стандарт-Энерго»» (ОГРН 1229400022774, ИНН 9403006435, КПП 940301001, адрес: 291048, Луганская Народная Республика, г. о. город Луганск, г. Луганск, ул. 26 Бакинских Комиссаров, д. 150В, далее — Общество), а также меры по обеспечению их безопасности.

1.2. Цель Политики — обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, включая право на неприкосновенность частной жизни, личную и семейную тайну, а также соблюдение требований законодательства Российской Федерации в области персональных данных.

1.3. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ № 152-ФЗ), Гражданским кодексом РФ, Трудовым кодексом РФ, Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», иными нормативными актами.

1.4. Политика является общедоступным документом и размещается на сайте Общества по адресу https://ledem.su/info/personal_data.php. Политика взаимосвязана с Соглашением об обработке персональных данных (далее — Соглашение) и Политикой использования файлов cookie и аналитических технологий (далее — Политика cookie), размещенными по адресам https://ledem.su/info/agreement.php и https://ledem.su/info/cookie.php соответственно.

1.5. Термины и определения:

• Автоматизированная обработка персональных данных — обработка с использованием средств вычислительной техники.
• Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, позволяющие установить его личность.
• Блокирование персональных данных — временное прекращение обработки (кроме случаев, необходимых для уточнения данных).
• Дата-центр — организация, предоставляющая услуги по размещению серверов, аренде серверов и подключению к сети Интернет.
• Доступ к персональным данным — ознакомление определенных лиц с персональными данными при условии сохранения их конфиденциальности.
• Интернет-магазин — сайт Общества по адресу https://ledem.su и его поддомены, предназначенный для продажи товаров и услуг.
• Информационная система персональных данных (ИСПДн) — совокупность баз данных персональных данных и технологий их обработки.
• Конфиденциальность персональных данных — обязанность не раскрывать данные третьим лицам без согласия субъекта, если иное не предусмотрено законом.
• Облачные сервисы — вычислительные ресурсы (сети, серверы, хранилища), предоставляемые по модели удаленного доступа.
• Обработка персональных данных — любое действие с персональными данными, включая сбор, запись, систематизацию, хранение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
• Общедоступные персональные данные — данные, доступ к которым предоставлен с согласия субъекта или по закону.
• Оператор — Общество, самостоятельно или совместно с другими лицами организующее обработку персональных данных.
• Персональные данные — информация, относящаяся к прямо или косвенно идентифицируемому физическому лицу, включая данные, собранные через cookie (например, ClientID).
• Согласие субъекта персональных данных — свободное, конкретное, информированное и однозначное волеизъявление субъекта на обработку его данных.
• Специальные категории персональных данных — сведения о расовой/национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, интимной жизни.
• Трансграничная передача персональных данных — передача данных на территорию иностранного государства.
• Уничтожение персональных данных — действия, исключающие возможность восстановления данных.
• Cookies — текстовые файлы, хранящиеся в браузере, содержащие обезличенные или персональные данные для аналитики и персонализации (регулируются Политикой cookie).

2. Статус Общества и категории субъектов персональных данных

2.1. Общество является оператором персональных данных следующих категорий субъектов:

• Работники — лица, с которыми заключены или были заключены трудовые договоры.
• Члены семей работников — родственники, супруги, иждивенцы, бывшие супруги (для алиментов), данные которых обрабатываются по закону или для предоставления льгот.
• Соискатели — кандидаты на вакансии, предоставившие резюме или анкеты.
• Покупатели — потребители товаров и услуг Общества, включая участников программ лояльности, Интернет-магазина, маркетинговых акций и обращений.
• Представители контрагентов — физические лица, индивидуальные предприниматели, представители юридических лиц, с которыми заключены или планируются договоры.
• Представители субъектов — лица, действующие по поручению субъектов персональных данных.
• Посетители — лица, посещающие охраняемые территории или помещения Общества.
• Пользователи сайта и мобильного приложения — авторизованные пользователи, заполнившие формы регистрации или обращения.
• Посетители сайта — анонимные пользователи сайта, данные которых (например, IP-адрес, cookie) могут быть персональными, если связаны с конкретным лицом.

2.2. Субъект может относиться к нескольким категориям одновременно (например, Покупатель и Пользователь сайта).

2.3. Общество передает персональные данные государственным органам (ФНС, СФР, ФОМС, органы статистики, военкоматы) и операторам фискальных данных без согласия субъектов в случаях, предусмотренных законодательством (например, НК РФ, ФЗ № 402-ФЗ, ФЗ № 54-ФЗ).

2.4. Общество имеет страницы в социальных сетях (ВКонтакте, RuTube, Дзен, Telegram), которые могут собирать данные через cookie. Эти данные регулируются политиками соответствующих платформ, указанными в Политике cookie.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных осуществляется на основе следующих принципов (ст. 5 ФЗ № 152-ФЗ):

• Законность и справедливость — соблюдение законодательства, недопустимость обработки во вред субъектам.
• Ограничение целями — обработка только для заранее определенных законных целей.
• Минимизация данных — сбор только тех данных, которые необходимы для целей обработки.
• Актуальность — обеспечение точности и актуальности данных.
• Ограничение хранения — хранение не дольше, чем требуется для целей обработки или по закону.
• Конфиденциальность — защита данных от несанкционированного доступа и передачи.

3.2. Цели обработки персональных данных:

• Работники: исполнение трудовых договоров, расчет зарплаты, налогов, страховых взносов, ведение воинского учета, предоставление льгот, обеспечение безопасности и сохранности имущества, продвижение бренда Общества.
• Члены семей работников: предоставление льгот, выплата алиментов, информирование о несчастных случаях, выполнение требований статистики.
• Соискатели: подбор персонала, ведение кадрового резерва.
• Покупатели: продажа товаров и услуг, доставка, программы лояльности, маркетинговые акции (с согласия), ответы на обращения, участие в спорах.
• Представители контрагентов: заключение и исполнение договоров.
• Представители субъектов: выполнение поручений субъектов.
• Посетители: контроль доступа на территорию Общества.
• Пользователи сайта и мобильного приложения: продажа товаров, участие в акциях, обратная связь, аналитика поведения (с согласия).
• Посетители сайта: аналитика потребительского поведения, таргетированная реклама (с согласия через Политику cookie).

3.3. Общество не обрабатывает избыточные данные и не объединяет базы данных с несовместимыми целями.

3.4. Общество обеспечивает актуальность данных, предоставляя субъектам право на уточнение, блокирование или уничтожение данных (ст. 14, 15 ФЗ № 152-ФЗ).

3.5. Данные уничтожаются по достижении целей обработки, при отзыве согласия или по истечении срока хранения, если иное не предусмотрено законом.

4. Условия обработки персональных данных

4.1. Обработка персональных данных допускается в следующих случаях (ст. 6 ФЗ № 152-ФЗ):

• При наличии согласия субъекта.
• Для исполнения закона.
• Для исполнения договора, стороной которого является субъект, или для преддоговорной работы.
• Для защиты прав и законных интересов Общества или третьих лиц, если это не нарушает права субъектов.
• При предоставлении субъектом доступа неограниченному кругу лиц.
• При обязательном раскрытии по закону.

4.2. Общество не раскрывает данные третьим лицам без согласия субъекта, кроме случаев, предусмотренных законом или договором. Передача данных аналитическим сервисам (например, Яндекс.Метрика) регулируется Политикой cookie.

4.3. Общество не обрабатывает специальные категории данных (раса, религия, здоровье, интимная жизнь), кроме случаев, предусмотренных законом (например, данные о здоровье Работников для трудового законодательства).

4.4. Данные о судимости обрабатываются только в установленных законом случаях.

4.5. Общество не принимает решения, затрагивающие права субъектов, исключительно на основе автоматизированной обработки. Такие данные проверяются уполномоченными работниками.

4.6. Трансграничная передача данных возможна только при соблюдении ст. 12 ФЗ № 152-ФЗ (например, обеспечение адекватной защиты в стране-получателе).

5. Способы обработки персональных данных

5.1. Общество осуществляет автоматизированную и неавтоматизированную обработку персональных данных, включая использование облачных сервисов и cookie (регулируются Политикой cookie).

5.2. Неавтоматизированная обработка регулируется Политикой, если она аналогична автоматизированной (например, поиск в картотеках).

6. Конфиденциальность персональных данных

6.1. Общество и его работники обязаны обеспечивать конфиденциальность персональных данных (ст. 7 ФЗ № 152-ФЗ).

6.2. Общество поручает обработку данных третьим лицам (например, службы доставки, аналитические сервисы) с согласия субъекта и на основании договора, включающего:

• Перечень действий с данными.
• Цели обработки.
• Обязанность соблюдения конфиденциальности и безопасности.
• Уведомление об утечках данных.
• Предоставление документов о мерах защиты по запросу Общества.

6.3. Размещение ИСПДн в дата-центре или облачных сервисах без доступа персонала провайдера не считается поручением обработки.

6.4. Общество несет ответственность за действия третьих лиц, которым поручена обработка данных, включая иностранных лиц (ст. 6 ФЗ № 152-ФЗ).

6.5. Общество уведомляет субъектов об утечках данных в порядке, установленном законодательством.

7. Согласие субъекта персональных данных

7.1. Согласие субъекта должно быть свободным, конкретным, информированным и однозначным (ст. 9 ФЗ № 152-ФЗ). Оно может быть предоставлено в письменной форме, через электронную подпись (ФЗ № 63-ФЗ) или через активные действия (чекбоксы, кнопка «Принять»).

7.2. Механизмы получения согласия:

• Работники: согласие не требуется для исполнения трудового договора, кроме случаев, предусмотренных законом (например, маркетинг).
• Члены семей работников: согласие не требуется для обработки по закону (например, алименты), в иных случаях — через письменное или электронное согласие.
• Соискатели: согласие подтверждается предоставлением резюме или анкеты; для кадрового резерва — письменное согласие.
• Покупатели: согласие через чекбоксы при регистрации, оформлении заказа, участии в программах лояльности; маркетинг — отдельное активное согласие.
• Представители контрагентов: согласие через договор, доверенность или веб-форму; для работников контрагента — согласие через контрагента.
• Представители субъектов: согласие через доверенность и документ, удостоверяющий личность.
• Посетители: согласие через предоставление данных при посещении.
• Пользователи сайта и мобильного приложения: согласие через чекбоксы или акцепт оферты.
• Посетители сайта: согласие на cookie через всплывающее окно с кнопкой «Принять» (Политика cookie).

7.3. Общество проверяет полномочия представителей субъектов.

7.4. Контрагенты несут ответственность за получение согласия субъектов на передачу данных Обществу, что закрепляется в договоре.

7.5. Согласие не требуется при запросах уполномоченных органов (прокуратура, ФСБ, Роскомнадзор) с указанием цели и правовых оснований.

7.6. Субъект может отозвать согласие через Личный кабинет, e-mail (zakaz@ledem.su), почту или форму на Сайте (https://ledem.su/support). Отзыв не распространяется на обработку, необходимую по закону или договору.

7.7. Общество доказывает факт получения согласия или наличие законных оснований для обработки (ст. 9 ФЗ № 152-ФЗ).

8. Права субъектов персональных данных

8.1. Субъект имеет право (ст. 14, 15 ФЗ № 152-ФЗ):

• Получать информацию об обработке своих данных.
• Требовать уточнения, блокирования или уничтожения данных, если они неполные, неточные, устаревшие, незаконно получены или не нужны для целей обработки.
• Отозвать согласие на обработку.
• Отказаться от маркетинговых рассылок (ст. 18 ФЗ № 38-ФЗ).
• Обжаловать действия Общества в Роскомнадзор или суд.
• Требовать возмещения убытков и морального вреда.

8.2. Порядок реализации прав:

• Запрос направляется:
  • По почте: 291048, Луганская Народная Республика, г. о. город Луганск, г. Луганск, ул. 26 Бакинских Комиссаров, д. 150В.
  • По e-mail: zakaz@ledem.su.
  • Через форму на Сайте: https://ledem.su/support.
• Запрос должен содержать: ФИО, данные документа, удостоверяющего личность, сведения о взаимодействии с Обществом, подпись (или электронную подпись).
• Срок ответа: 10 рабочих дней для предоставления информации (ст. 14 ФЗ № 152-ФЗ), 7 рабочих дней для уточнения/уничтожения данных (ст. 21 ФЗ № 152-ФЗ).
• Общество уведомляет субъекта о внесенных изменениях и мерах, а также третьих лиц, которым данные были переданы.
• При отказе предоставляется мотивированный ответ в течение 7 рабочих дней.

8.3. Обжалование действий Общества направляется в Роскомнадзор (https://rkn.gov.ru) или в суд по месту жительства субъекта (ст. 17 ЗоЗПП).

9. Меры защиты персональных данных

9.1. Общество реализует правовые, организационные и технические меры для защиты персональных данных (ст. 19 ФЗ № 152-ФЗ).

9.2. Правовые меры:

• Разработка локальных актов, включая Политику, Соглашение и Политику cookie.
• Отказ от обработки данных, не соответствующих заявленным целям.

9.3. Организационные меры:

• Назначение ответственных за обработку и безопасность данных.
• Ограничение доступа работников к данным.
• Обучение работников требованиям законодательства.
• Учет носителей данных и их защита от хищения.
• Контроль доступа в помещения с ИСПДн.
• Разработка модели угроз и требований к защите данных.

9.4. Технические меры:

• Использование сертифицированных средств защиты (антивирусы, межсетевые экраны).
• Разграничение прав доступа в ИСПДн.
• Регистрация действий пользователей.
• Шифрование данных при передаче (например, в облачные сервисы).
• Резервное копирование и восстановление данных.
• Мониторинг и реагирование на инциденты, включая утечки.

9.5. Общество уведомляет субъектов и Роскомнадзор об утечках данных в порядке, установленном законодательством.

10. Сроки обработки и хранения персональных данных

10.1. Сроки обработки определяются:

• Сроком действия договора.
• Законодательством (например, ФЗ № 402-ФЗ, ст. 29 ГК РФ).
• Согласием субъекта.
• Сроками, указанными в Политике cookie (для данных из cookie).

10.2. Сроки для категорий субъектов:

• Работники: в течение действия трудового договора и после его прекращения — 75 лет (до 2003 г.) или 50 лет (после 2003 г.) для документов по личному составу.
• Члены семей работников: в течение срока обработки данных Работника.
• Соискатели: 30 дней после отказа от приема на работу; для кадрового резерва — до 3 лет.
• Покупатели: в течение срока действия договора, 5 лет для бухгалтерских документов, 3 года для исковых целей; для маркетинга — до 3 лет или отзыва согласия.
• Представители контрагентов: в течение срока действия договора, 5 лет для бухгалтерии, 3 года для исков.
• Представители субъектов: в течение срока действия доверенности.
• Посетители: до 3 лет с даты посещения.
• Пользователи сайта и ПО: до 3 лет с последней активности.
• Посетители сайта: до 3 месяцев для аналитики (или по срокам cookie).

10.3. По истечении сроков данные уничтожаются или обезличиваются (ст. 21 ФЗ № 152-ФЗ).

11. Заключительные положения

11.1. Политика пересматривается не реже одного раза в три года или при изменении законодательства.

11.2. Изменения вносятся приказом генерального директора Общества и вступают в силу через 10 дней после публикации. Общество уведомляет субъектов через e-mail, всплывающее окно или Личный кабинет.

11.3. Актуальная версия Политики размещена на сайте https://ledem.su/info/personal_data.php.

11.4. Работники, нарушающие требования обработки данных, несут ответственность по ст. 24 ФЗ № 152-ФЗ и ст. 13.11 КоАП РФ.

11.5. Контроль за соблюдением законодательства осуществляет ответственное лицо Общества.

11.6. Контакты для обращений:

• Почта: 291048, Луганская Народная Республика, г. о. город Луганск, г. Луганск, ул. 26 Бакинских Комиссаров, д. 150В.
• E-mail: zakaz@ledem.su.
• Форма на сайте: https://ledem.su/support.