DigiU - Политика обработки и защиты персональных данных
Back

Политика обработки и защиты персональных данных
АНО «Цифровой переход»

Обеспечение конфиденциальности и безопасности обработки персональных данных в Автономной некоммерческой организации «Национальный инновационный научно-внедренческий центр развития цифровых и информационных технологий «Цифровой переход» (АНО «Цифровой переход») является одной из приоритетных задач.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных и в соответствии с локальными актами компании.

1. Общие положения

  1. Настоящий документ (далее — «Политика») определяет позицию АНО «Цифровой переход» (далее — «Компания») в отношении обработки и защиты персональных данных и излагает систему основных принципов в отношении обработки персональных данных.
  2. Настоящая Политика определяет правовые основания, порядок и условия обработки персональных данных работников, соискателей Компании, физических лиц, осуществляющих деятельность по гражданско-правовому договору, заключенному с Компанией, а также посетители сайта, иные лица, чьи персональные данные обрабатываются Компанией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  3. Правовыми основаниями обработки персональных данных Компанией являются:
    1. Конституция Российской Федерации.
    2. Трудовой кодекс Российской Федерации.
    3. Гражданский кодекс Российской Федерации.
    4. Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера».
    5. Федеральный закон от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской федерации, Федеральный фонд обязательного медицинского страхования».
    6. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
    7. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Политики об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
    8. Устав АНО «Цифровой переход».
  4. Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области обработки персональных данных.

2. Условия и порядок обработки персональных данных

  1. Компания обрабатывает персональные данные следующих субъектов персональных данных:
    1. Соискатели на замещение вакантных должностей.
    2. Работники, состоящие или состоявшие в трудовых отношениях с Компанией.
    3. Работники и представители поставщиков, клиентов и партнеров Компании.
    4. Физические лица, осуществляющие деятельность на основании гражданско-правовых договоров, заключенных с Компанией.
    5. Пользователи сайта https://digiu.ai
  2. К персональным данным обрабатываемым Компанией относятся:
    1. Для соискателей на замещение вакантных должностей:
      1. ФИО;
      2. дата и год рождения;
      3. пол человека;
      4. гражданство;
      5. город;
      6. электронный адрес/почтовый адрес;
      7. номер телефона;
      8. сведения об образовании, профессии, специальности и квалификации, а также профессиональных навыках;
      9. сведения о занимаемых ранее должностях и стаже работы;
      10. сведения о текущем месте работы и должности;
      11. сведения о воинской обязанности, воинском учете;
      12. иные данные, сообщаемые соискателем в резюме, анкетах и сопроводительных письмах.
    2. Для работников, состоящих или состоявших в трудовых отношениях с Компанией:
      1. ФИО;
      2. дата и год рождения;
      3. пол человека;
      4. гражданство;
      5. реквизиты документа, удостоверяющего личность;
      6. реквизиты свидетельства о постановление на учет в налоговом органе (ИНН);
      7. реквизиты свидетельства обязательного пенсионного страхования (СНИЛС);
      8. адрес фактического места проживания и регистрации по месту жительства и/или по месту пребывания;
      9. электронный адрес/почтовый адрес;
      10. номер телефона;
      11. резервный номер телефона;
      12. сведения об образовании, профессии, специальности и квалификации, а также профессиональных навыках;
      13. реквизиты и копии документов об образовании;
      14. сведения о занимаемых ранее должностях и стаже работы;
      15. сведения о текущем месте работы и должности;
      16. сведения о воинской обязанности, воинском учете;
      17. банковские реквизиты, номера счетов;
      18. данные о командировках и отпусках;
      19. сведения о деловых и личностных качествах (опросы, анкеты, тесты, листы оценки);
      20. сведения о социальных льготах;
      21. сведения о временной нетрудоспособности работников;
      22. сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней;
    3. Для работников и представителей поставщиков, клиентов и партнеров Компании:
      1. ФИО;
      2. электронный адрес/почтовый адрес;
      3. номер телефона;
      4. сведения о текущем месте работы и должности.
    4. Для физических лиц, осуществляющих деятельность на основании гражданско-правовых договоров, заключенных с Компанией:
      1. ФИО;
      2. дата и год рождения;
      3. пол человека;
      4. гражданство;
      5. реквизиты документа, удостоверяющего личность;
      6. реквизиты свидетельства о постановление на учет в налоговом органе (ИНН);
      7. реквизиты свидетельства о государственной регистрации физического лица в качестве индивидуального предпринимателя (ОГРНИП);
      8. реквизиты листа записи из Единого государственного реестра индивидуальных предпринимателей;
      9. сведения о применении специального налогового режима «Налог на профессиональный доход» в соответствие с положениями Федерального закона от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход»;
      10. адрес фактического места проживания и регистрации по месту жительства и/или по месту пребывания;
      11. электронный адрес/почтовый адрес;
      12. номер телефона;
      13. резервный номер телефона;
      14. сведения об образовании, профессии, специальности и квалификации, а также профессиональных навыках;
      15. реквизиты и копии документов об образовании;
      16. сведения об оказанных ранее услугах иным контрагентам, участии в иных проектах;
      17. сведения об авторстве физического лица в отношении результатов интеллектуальной деятельности;
      18. банковские реквизиты, номера счетов.
    5. Пользователи сайта https://digiu.ai в случае прохождения верификации:
      1. ФИО;
      2. Электронный адрес;
      3. Номера телефонов;
      4. Год, месяц, дата и место рождения;
      5. Фотографии;
      6. Свидетельство о гражданстве;
      7. Реквизиты документа, удостоверяющего личность;
      8. Идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
      9. Номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;
      10. Номер полиса обязательного медицинского страхования;
      11. Адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;
      12. Сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;
      13. Сведения о семейном положении и составе семьи;
      14. Сведения о доходах;
      15. Сведения о задолженности;
      16. Сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете.
    6. Пользователи сайта https://digiu.ai по общему правилу
      1. На сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других);
  3. Персональные данные обрабатываются Компанией в целях:
    1. Для соискателей на замещение вакантных должностей:
      1. поиска и отбора кандидатов на замещение вакантных должностей;
      2. формирования кадрового резерва.
    2. Для работников, состоящих или состоявших в трудовых отношениях с Компанией:
      1. регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
      2. кадрового, бухгалтерского и налогового учета;
      3. осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
      4. предоставления работникам Компании дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
      5. защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
      6. осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании;
      7. формирования и использования усиленной неквалифицированной электронной подписи (УНЭП).
    3. Для работников и представителей поставщиков, клиентов и партнеров Компании:
      1. организации(оформления) договорных отношений;
      2. организации и проведении Компанией (в т.ч. с привлечением, на законных основаниях, третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;
      3. исполнения Компанией обязательств в рамках договоров поставки, оказания услуг;
      4. обратной связи с субъектами персональных данных;
      5. предоставления субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг;
      6. осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании.
    4. Для физических лиц, осуществляющих деятельность на основании гражданско-правовых договоров, заключенных с Компанией:
      1. организации(оформления) договорных отношений;
      2. организации и проведении Компанией (в т.ч. с привлечением, на законных основаниях, третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;
      3. исполнения Компанией обязательств в рамках договоров оказания услуг, авторского заказа;
      4. обратной связи с субъектами персональных данных;
      5. предоставления субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг;
      6. осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании.
    5. Для пользователей сайта https://digiu.ai:
      1. Прохождение процедуры верификации аккаунта.
      2. Информирование пользователя сайта посредством отправки электронных писем; заключение, исполнение и прекращение гражданско-правовых договоров; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на сайте
      3. Обезличенные данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания
  4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.
  5. Обработка персональных данных Компанией осуществляется следующими способами:
    1. неавтоматизированная обработка персональных данных;
    2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
    3. смешанная обработка персональных данных.
  6. Перечень действий, совершаемых Компанией с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  7. Обработка персональных данных осуществляется Компанией при условии получения согласия субъекта персональных данных, за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого согласия.
  8. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в Компании на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных, а также положений ст. 10.1. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  9. Сроки обработки персональных данных определены с учетом:
    1. Установленных целей обработки персональных данных.
    2. Сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных.
    3. Законодательства РФ в области архивного дела, кадрового и налогового учета.
  10. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
  11. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию при наступлении следующий условий:
    1. Достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 календарных дней;
    2. Утрата необходимости в достижении целей обработки персональных данных — в течение 30 календарных дней;
    3. Предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 календарных дней;
    4. Невозможность обеспечения правомерности обработки персональных данных — в течение календарных 10 дней;
    5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение календарных 30 дней;
    6. Отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 рабочих дней;
    7. Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
    8. Ликвидация (реорганизация) Компании.
  12. Компания не осуществляет трансграничную передачу персональных данных, все персональные данные субъектов хранятся на территории РФ.
  13. Компания не осуществляет обработку биометрических персональных данных.
  14. Компания может передавать персональные данные третьим лицам в рамках исполнения обязанностей, возложенных на Компанию законодательством РФ, либо с согласия субъекта персональных данных.

3. Меры по обеспечению безопасности персональных данных

  1. Компания предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
    1. назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
    2. проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности передаваемых данных (в том числе персональных);
    3. издание локальных нормативных актов, определяющих правила и порядок обработки персональных данных в Компании, ознакомление с ними субъектов персональных данных;
    4. обеспечение физической безопасности помещений и средств обработки, охрана, видеонаблюдение;
    5. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
    6. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
    7. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
    8. резервное копирование информации для возможности восстановления;
    9. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права и обязанности субъектов персональных данных

  1. Субъект персональных данных обязан предоставлять Компании достоверные персональные данные и документы, содержащие информацию персонального характера, в случаях и порядке, установленных законодательство РФ, подзаконными актами и настоящей Политикой.
  2. При изменении персональных данных субъект персональных данных должен письменно уведомить об этом Компанию в срок, не превышающий 14 календарных дней. Компания имеет право запрашивать у субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.
  3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
    1. подтверждение факта обработки персональных данных Компанией;
    2. правовые основания, цели и сроки обработки персональных данных, в том числе сроки их хранения;
    3. цели и применяемые Компанией способы обработки персональных данных;
    4. наименование и место нахождения Компании, сведения о лицах (за исключением сотрудников/работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
    5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
    6. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
    7. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    8. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
    9. иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами и подзаконными актами.
  4. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  5. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компанией в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке.
  6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  7. Субъект персональных данных имеет право отозвать свое согласие посредством составления соответствующего письменного документа (заявления), который может быть направлен в адрес Компании по почте заказным письмом с уведомлением о вручении либо вручен лично под подпись представителю Компании.

5. Права и обязанности Компании

  1. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (ст.6 п.3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»). Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  2. В целях внутреннего информационного обеспечения Компания может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, дата рождения, абонентский(мобильный) номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных. Работники, получающие доступ к таким материалам должны быть проинформированы о конфиденциальности предоставленных им сведений, а также подписать обязательство о неразглашении.
  3. Компания имеет право обрабатывать персональные данные, полученные законным способом, без согласия субъекта в случаях, предусмотренных ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иными нормативно-правовыми актами законодательства РФ.
  4. Компания вправе отказать субъекту персональных данных в выполнении запроса на получение информации, касающейся обработки его персональных данных, в случаях, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иными актами законодательства РФ.
  5. Опубликованная на веб-сайте политика обработки и защиты персональных данных является действующей. Компания вправе в любое время вносить в нее изменения. В случае внесения изменений, компания обязана уведомить пользователей путем размещения на сайте новой редакции политики обработки и защиты персональных данных.
  6. Компания имеет право направлять субъекту персональных данных (пользователю) уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@digiu.ai с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях»

6. Заключительные положения

  1. Настоящее Политика регулируется и толкуется в соответствии с законодательством Российской Федерации. Вопросы, не урегулированные настоящим Положением, подлежат разрешению в соответствии с законодательством Российской Федерации. Все возможные споры, вытекающие из отношений, регулируемых настоящим Положением, разрешаются в порядке, установленном действующим законодательством Российской Федерации, по нормам российского права. Везде по тексту настоящего Политики, если явно не указано иное, под термином «законодательство» понимается законодательство Российской Федерации.
  2. В случае возникновения вопросов и претензий со стороны Пользователя он вправе обратиться в адрес Компании любым доступным способом. Все возникающее споры стороны будут стараться решить путем переговоров, при недостижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством РФ.
  3. Бездействие со стороны Компании в случае нарушения Пользователем требований Политики не лишает Компанию права предпринять соответствующие действия в защиту своих интересов позднее, а также не означает отказ Компании от своих прав в случае совершения в последующем подобных либо сходных нарушений.
  4. Все споры по Положению или в связи с ним подлежат рассмотрению в суде по месту нахождения Компании в соответствии с действующим процессуальным правом Российской Федерации.
  5. Признание судом недействительности какого-либо требования настоящего Политики не влечет за собой недействительность остальных требований.
  6. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Компании.