1. Основные термины и определения

1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие третьим лицам или их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.5. Обезличивание персональных данных – действия, в результате которыхстановится невозможным без использования дополнительной информации определитьпринадлежность персональных данных конкретному субъекту персональных данных.
1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
1.8. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.9. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.11. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.13. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Общие положения

2.1.Настоящая Политика об организации обработки персональных данных в ООО «ПАУЛЬ ХАРТМАНН» (далее по тексту – «Политика»), разработана в соответствии Федеральным законом Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных» и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн)Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых данных в Обществе с ограниченной ответственностью «ПАУЛЬ ХАРТМАНН», ОГРН 1027700057010 (далее - «Организация»/ «Общество»), функции Организации при обработке персональных данных, права субъектов персональных данных.
2.2. Положения настоящей Политики служат основой для организации работы по обработке персональных данных в Организации, в том числе, для разработки локальных нормативных актов, регламентирующих порядок и процессы обработки персональных данных в Организации.
2.3. Настоящая Политика является общедоступной и размещается на официальном сайте Организации в сети Интернет- https://www.hartmann.ru/

3. Правовые основы обработки персональных данных

3.1. Правовые основы Политики Организации в отношении обработки персональных данных определяют:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне
• информационных систем персональных данных»;
• постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• приказ ФСТЭК России от 18.02.2012 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению
• безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные нормативные и правовые акты.

3.2. целях реализации положений Политики, в Организации разрабатываются соответствующие локальные нормативные акты и иные документы.

4. Состав обрабатываемых персональных данных и классификация субъектов персональных данных

4.1. Состав персональных данных, обрабатываемых в Обществе, установлен в Перечне персональных данных, обрабатываемых в Обществе, утвержденном приказом генерального директора Общества и может включать в себя, включая, но не ограничиваясь: Имя; Отчество; Фамилия; Контактный номер телефона; Адрес электронной почты (e-mail адрес); IP-адрес пользователя; файлы Cookies, наименование компании (организации), в которой работает субъект; Занимаемая должность; Адрес регистрации (наименование субъекта Российской Федерации, района, города, иного населенного пункта, улицы, номер дома и квартиры), по которому Пользователь зарегистрирован по месту жительства в органах регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации и который содержится в отметке о регистрации гражданина по месту жительства в паспорте или документе, заменяющем паспорт гражданина; паспортные данные (серия, номер, дата и место выдачи, место и дата рождения), Страховой номер индивидуального лицевого счета (СНИЛС).

4.2. Организация осуществляет обработку ПДн следующих категорий субъектов персональных данных::

• работники, бывшие работники;
• посетители интернет-сайтов (порталов) Организации;
• физические лица по договорам гражданско-правового характера;
• работники контрагентов;
• ближайшие родственники работников;
• кандидаты на трудоустройство;
• клиенты (физические лица);
• фармацевты, специалисты в области здравоохранения;
• посетители офисов и производственно-логистического комплекса (далее - ПЛК) ООО «ПАУЛЬ ХАРТМАНН».
• потребители и их законные представители;

5. Цель обработки персональных данных

5.1. ПДн обрабатываются в целях:

• выполнение функции работодателя (осуществление выплат; ведение личных дел, учет работников; исчисление стажа, назначение государственной и негосударственной пенсии; предоставление компенсаций, пособий, доп. выходных дней; контроль за исполнением трудовых обязанностей; определение возможности выполнения трудовой функции; организация командировок; выполнение договорных отношений (учет договоров с информацией о подписантах и всех учредительных документах, учет доверенностей), ведение кадрового резерва;
• выполнение функции страхователя в отношении работников;
• обеспечение средствами индивидуальной защиты;
• организация командировок, деловых поездок;
• Проведение медосмотров, оказание мед. помощи, расследование несчастных случаев;
• выполнение обязанности налогового агента;
• планирование, организация и осуществление повышения квалификации, обучения смежным профессиям, стажировка;
• определение возможности выполнения трудовой функции;
• расчет и выплата пособия по временной нетрудоспособности;
• заказ и бронирование такси, авиа и ж/д билетов, бронирование гостиниц, визовая поддержка;
• предоставление информации о субъекте путем размещения на ресурсах в сетях общего пользования - Интернет, на информационных стендах, телефонных справочниках и других источниках;
• выполнение договорных обязательств;
• подтверждение и проверка полномочий лиц – представителей Общества и/или контрагентов.
• соблюдение нормативных правовых актов РФ, локальных актов Общества;
• обеспечение кадрового резерва;
• содействие в трудоустройстве;
• содействие в выборе подходящей должности;
• контроль дисциплины труда;
• обеспечения сохранности имущества и личной безопасности работников и посетителей Общества;
• продажа, обмен возврат товара;
• возврат денежных средств;
• реализация дисконтной политики;
• осуществление доставки;
• осуществление видов деятельности, предусмотренных уставом Общества;
• работа с обращениями, заявлениями лиц;
• получение статистических данных о посетителях сайтов Общества;
• заказ пропуска для прохода на территорию офисов и ПЛК.
• предоставление информационных услуг и web-сервисов, создания и поддержания персональной учетной записи (личного кабинета) в интернет-порталах Организации.
• осуществления маркетинговых исследований и анализа их результатов, проведения акций, опросов, исследований;
• предоставление информации о продукции Организации,
• формирование справочных материалов для внутреннего информационного обеспечения деятельности Организации;
• иных целях, не противоречащих законодательству Российской Федерации.

6. Получение персональных данных от субъекта персональных данных

6.1. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных».
6.2. В установленных случаях обработка ПДн осуществляется только после получения Согласия.
6.3. Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, в любой позволяющей подтвердить факт его получения форме.
6.4. Допускается включение согласия субъекта ПДн в письменном виде непосредственно в документ, заполняемый субъектом ПДн или подготавливаемый для субъекта ПДн (анкета, опросный лист, соглашение, договор и т.д.).
6.5. Сбор ПДн осуществляется работниками Общества в соответствии с их
6.6. В ИСПДн Общества ПДн заносятся работниками Общества на основании документов, предъявляемых субъектом ПДн/законным представителем субъекта ПДн, или на основании заполняемых субъектом ПДн/законным представителем субъекта ПДн документов (анкеты, опросные листы).
6.7. В случаях, когда предоставление ПДн является обязательным в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», субъекту ПДн/представителю субъекта ПДн разъясняются юридические последствия отказа предоставить его ПДн.
6.8. Согласие на обработку персональных данных может быть в том числе предоставлено с использованием цифровой подписи субъекта персональных данных (включая простые электронные подписи, либо через личный кабинет с использованием логина и пароля).

7. Порядок обработки персональных данных

7.1. Организацию и контроль за состоянием процесса обработки ПДн в Обществе осуществляет ответственный за организацию обработки ПДн.
7.2. Все работники, которым в связи со служебными (должностными) обязанностями необходим доступ к ПДн, заполняют и подписывают «Обязательство о неразглашении информации ограниченного доступа», форма которого установлена в Приложении 3 к Положению об организации обработки и защиты персональных данных работников.
7.3. Доступ работников к ПДн осуществляется на основании «Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных в ООО «ПАУЛЬ ХАРТМАНН», утвержденного приказом генерального директора Общества. Доступ к ПДн работникам, должность которых не указана в перечне, запрещен.
7.4. В целях обеспечения единого порядка рассмотрения запросов субъектов ПДн или их представителей на доступ к обрабатываемым ПДн субъекта ПДн в ИСПДн, Ответственный за организацию обработки ПДн руководствуется Правилами рассмотрения запросов субъектов персональных данных, чьи персональные данные обрабатываются в ООО «ПАУЛЬ ХАРТМАНН (утв. Приказом Генерального директора) и осуществляет ведение Журнала регистрации обращений субъектов персональных данных, чьи персональные данные обрабатываются в ООО «ПАУЛЬ ХАРТМАНН, форма которого установлена в Приложении 2 к настоящему Положению.
7.5. Хранение ПДн осуществляется не дольше, чем это необходимо для их обработки в целях, для которых они были собраны. По достижении целей обработки, ПДн передаются на архивное хранение в порядке, установленном законодательством РФ, либо уничтожаются, если их архивное хранение не требуется.

8. Поручение обработки персональных данных

8.1. Обработка ПДн другому лицу поручается только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
8.2. Обработка ПДн другому лицу поручается только на основании заключаемого с этим лицом договора, государственного или муниципального контракта, принятого государственным или муниципальным органом акта (далее – «Поручение оператора»).
8.3. В Поручении оператора должны быть определены:

• перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
• цели обработки ПДн;
• обязанность указанного лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
• требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона №152-ФЗ от 27 июля 2006г. «О персональных данных»;
• ответственность указанного лица перед Обществом.

8.4. Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом №152-ФЗ от 27 июля 2006г. «О персональных данных». При этом данное лицо не обязано получать согласие субъекта ПДн на обработку его ПДн.
8.5. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

9. Трансграничная передача персональных данных

9.1. Общество может осуществлять трансграничную передачу персональных данных субъекта. Общество обязано убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
9.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных;
• исполнения договора, стороной которого является субъект персональных данных.

9.3. Об осуществлении трансграничной передачи ПДн Общество подает соответствующее уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

10. Прекращение обработки персональных данных и их уничтожение

10.1. В случае достижения целей обработки ПДн или утраты необходимости в достижении целей обработки ПДн указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения целей обработки ПДн (утраты необходимости в достижении целей обработки ПДн).
10.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн указанные ПДн уничтожаются или обеспечивается их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
10.3. В случае окончания срока обработки ПДн, указанного в письменном согласии субъекта ПДн, указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества).
10.4. В случае обращении субъекта персональных данных при выявлении факта их неправомерной обработки.
10.5. Уничтожение ПДн производится способом, исключающим возможность их восстановления:

• перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью;
• удалением записи о файлах;
• обнулением журнала файловой системы;
• полной перезаписью всего адресного пространства съемного машинного носителя ПДн случайной битовой последовательностью с последующим форматированием.
• Уничтожение ПДн производится в порядке, предусмотренном Политикам о хранении и уничтожении информации и приказом Роскомнадзора от 28.10.2022 № 179.

10.6. При невозможности уничтожения ПДн в сроки, определенные Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных» для случаев, когда невозможно обеспечить правомерность обработки ПДн или при достижении целей обработки ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, осуществляется блокирование ПДн и их последующие уничтожение в течение 6 месяцев, если иной срок не установлен федеральным законодательством.
10.7. Допускается не уничтожать или не обезличивать ПДн в следующих случаях:

• если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• если иное предусмотрено соглашением с субъектом ПДн и Обществом;
• если в соответствии с федеральными законами есть основания осуществлять дальнейшую обработку ПДн без согласия субъекта ПДн.

10.8. Уничтожение персональных ПДн субъекта фиксируется актом комиссии об уничтожении ПДн и\или выгрузкой из журнала регистрации событий в информационной системе ПДн.

11. заключительные положения

11.1. Организация, а также ее должностные лица и работники несут гражданскоправовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
11.2. Обработка персональных данных осуществляется Организацией с использованием средств автоматизации, а также без использования таких средств. При этом под автоматизированной обработкой персональных данных понимается обработка персональных данных с помощью средств вычислительной техники, но в любом случае при непосредственном участии человека.
11.3. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте, если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна на Сайте по адресу: https://www.hartmann.ru/