На главную

Политика конфиденциальности

1. Общие положения

1.1. Назначение

Настоящая Политика в отношении обработки персональных данных АО «Эйч Энд Эн» (далее по тексту — Политика) является локальным нормативным актом АО «Эйч Энд Эн» (далее — Компания), который определяет политику Компании в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.

1.2. Область применения

Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

1.3. Термины и сокращения

Политика — Политика в отношении обработки персональных данных АО «Эйч Энд Эн»

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Субъект персональных данных — физическое лицо, персональные данные которого обрабатываются.

Обработка персональны данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор персональных данных — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Ответственный за организацию обработки ПДн — лицо, назначенное ответственным за организацию обработки ПДн в Компании на основании ст. 22.1. ФЗ «О персональных данных» от 27.07.2006 N 152-Ф3.

Сотрудник — физическое лицо, заключившее с Компанией трудовой договор (срочный или бессрочный) по основному месту работы, а также о работе по совместительству

Закон о Персональных данных — Федеральный закон РФ «О персональных данных» Nº152-Ф3 от 27 июля 2006 г.

Компания — АО «Эйч энд Эн».

1.4. Основные принципы организации работ в области обработки персональных данных.

1.4.1. Компания является Оператором персональных данных.

1.4.2. Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод Субъекта персональных данных при обработке его Персональных данных.

1.4.3. В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности Персональных данных и обеспечивающие соответствие деятельности Компании требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов.

2. Основная часть

2.1. Принципы и условия обработки персональных данных в Компании

2.1.1. Компания, являясь Оператором персональных данных, осуществляет обработку Персональных данных в следующих целях:

Категория Субъектов персональных данных — Цели обработки персональных данных

Кандидаты на вакантные должности в Компании — обработка информации (резюме/анкеты) кандидата на трудоустройство в Компанию, ведение кадрового резерва и проведения карьерных мероприятий

Сотрудники — реализация процессов, связанных с трудовой деятельностью, в том числе, необходимых для выполнения требований трудового, налогового и иного законодательства; организация мероприятий и комендировок (служебных поездок); расчет и выплата заработной платы, предоставление компенсаций, гарантий и льгот различного характера; организация и проведение внутреннего и внешнего обучения; контроля за качеством и количеством выполняемой работы; ведение кадрового документооборота, воинского и миграционного учета; привлечения к дисциплинарной/материальной ответственности; административно-хозяйственное обеспечение; проведение мероприятий в области охраны и безопасности труда; ведение кадрового резерва, и проведение карьерных/корпоративных мероприятий, обеспечение связи с Сотрудниками и организация внутренних коммуникаций, в том числе посредством телефонной — связи, корпоративных ресурсов (почта, мессенджеры}, эключение Сотрудников 80 внутрикорпоративные справочники.

Бывшие Сотрудники — ведение кадрового документооборота, воинского учета и миграционного учета; ведение архивного делопроизводства и обеспечение хранения сведений о Сотрудниках.

Родственники {близкие) Сотрудников, в том числе бывших Сотрудников — ведение кадрового документооборота, воинского учета и миграционного учета, реализация процессов, связанных с трудовой деятельностью, в том числе, необходимых для выполнения требований трудового, налогового и иного законодательства.

Работники здравоохранения и медицинские представители — заключение договоров, осуществления выплат в рамках сотрудничества с Компанией, взаимодействия с медицинскими представителями, обязательное раскрытие информации

Представители — контрагентов и физических лиц по договорам гражданско-правового характера, а также физические лица стороны указанных договоров взаимодействие при тендерном отборе, заключении договоров и ведении договорной деятельности, а таюже выполнение требований налогового, бухгалтерского и иного законодательства, документооборота, охраны и безопасности труда.

Выгодоприобретатели — взаимодействие при реализации программ страхования жизни

Потребители — взаимодействие в связи с участием в акциях Компании, рассмотрения обращений (претензий) к качеству продукции Компании и в других случаях

Получатели/отправители корреспонденции — взаимодействие для отправки и получения корреспонденции;

Посетители офисов/заводов/складов — взаимодействие для организации и обеспечения офисов/заводов/складов, проведения обязательных инструктажей охраны труда/безопасности при пребывании на территории Компании

Физические лицав рамках исполнения требований законодательства — оформление документов в целях выполнения требований законодательства РФ, ответов на запросы гос.органов, отчетности.

Члены коллегиального и единоличного исполнительного органа — формирование органов правления, формирование списков аффилированных лиц

Физические лица, представители по доверенности — оформление доверенностей


В Компании могут формироваться иные процессы обработки персональных данных, не указанные выше. На данные процессы Обработки персональных данных также распространяются положения настоящей Политики.

2.1.2. Обработка персональных данных в Компании осуществляется на основе следующих принципов:

  • обработка персональных денных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных — изаконных целей, Не допускается обработка персональных — данных, несовместимая с целями сбора ПДн;
  • обработке подлежет только ПДн, которые отвечают целям их обработки;
  • не допускается объединение баз данных, содержащих ПДН, обработка которых осуществляется в целях, несовместимых между собой
  • содержание и объем обргбатываемых ПДн должны соответствовать заявленным. целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях, и актуальность по отношению к целям обработки ПДн.
  • хранение ПДн осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели Обработки персональных данных, если срок хранения ПДн неустановлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных денных;
  • обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или вслучае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом,

2.1.3. Сроки обработки персональных данных определены с учетом:

  • сроков действия договоров с Субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
  • сроков, определенными Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
  • сроков, определенными Постановлением ФКЦБ РФ от 16 июля 2003 r, № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов. акционерных обществ»,
  • иными сроками, установленными законодательством РФ и локальными нормативными актами Компании

2.1.4. Компания не раскрывает третьим лицам и не распространяет Персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.

2.1.5. Компания может осуществлять обработку специальных категорий персональных данных, а именно сведений о состоянии здоровья в рамках отдельных процессов, где обработка таких данных предусмотрена требованиями законодательства (например, проведение предварительных/периодических медицинских осмотров для кандидатов/Сотрудников). При этом, при реализации указанных процессов, Компания выполняет все требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Законом о персональных данных.

2.1.6. Компания не осуществляет обработку биометрических персональных денных.

2.1.7. Компания не осуществляет трансграничную передачу персональных данных.

2.1.8. Компания не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.1.9. Компания не осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Компания не осуществляет Обработку персональных данных в целях политической агитации.

2.1.10. Компания не принимает решения, порождающие юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной Обработки персональных данных.

2.1.11. В ряде случаев Компания поручает Обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению Обработки персональных данных, предусмотренные Законом о персональных данных.

2.1.12. Компания осуществляет Обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной Обработке персональных данных, предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

2.2. Права субъектов персональных данных, обрабатываемых в Компании

2.2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его Персональных данных. Для получения указанной информации Субъект персональных данных может отправить заявление (запрос):

  • в письменной форме на адрес Компании: Россия, 127015, г. Москва, вн. Tep. г. м. о. Савёловский, ул. Вятская, 4. 27 стр. 13 или
  • в форме электронного документа, подписанного электронной цифровой подписью, на адрес электронной почты: correspondence@corph.com

Заявление (запрос) должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или  представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки его персональных данных Компанией, подпись Субъекта персональных данных или его представителя.

2.2.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Также Субъект персональных данных вправе отозвать ранее данное им согласие на обработку персональных данных и требовать прекращения обработки персональных данных, если цель такой обработки достигнута.

Для реализации указанных требований Субъект персональных данных может отправить письменное обращение (запрос):

  • в письменной форме на адрес Компании: Россия, 127015, г. Москва, BH, тер. г. м. о. Савёловский, ул. Вятская, д, 27 стр. 13 либо
  • в форме электронного документа, подписанного электронной цифровой подписью: correspondence@corph.com в порядке, установленном ст.21 Закона о Персональных данных.

Заявление (запрос) должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки его персональных данных Компанией, подпись Субъекта персональных данных или его представителя.

2.3. Исполнение обязанностей оператора Компанией

2.3.1. Компания получает персональные данные от Субъектов персональных данных и в необходимых случаях — от третьих лиц (то есть лиц, не являющихся Субъектами персональных данных). При этом Компания выполняет обязанности, предусмотренные Законом о Персональных данных при сборе Персональных данных.

2.3.2. Компания прекращает Обработку персональных данных в следующих случаях:

  • по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
  • по требованию Субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность Обработки персональных данных невозможно;
  • в случае отзыва Субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных в отсутствие других оснований обработки, предусмотренных Законом о персональных данных);
  • устранены причины, вследствие которых осуществлялась Обработка персональных данных, если иное не установлено федеральным законом;
  • в случае ликвидации или реорганизации Компании.

Компания уничтожает ПДн или обеспечивает их уничтожение, если Обработка персональных данных осуществляется другим лицом, действующим по поручению Компании:

  • в случае отзыва Субъектом персональных данных согласия на обработку его ПДн в срок, He превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований Обработки персональных данных;
  • в случае достижения цели Обработки персональных данных в срок, не превышающий 30 (тридцати) дней сдаты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований Обработки персональных данных;
  • в случае представления Субъектом персснальных данных, его представителем сведений, подтверждающих, что такие ПДн являются незеконно полученными или не являются необходимыми для заявленной цели обргботки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;
  • в случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.

Порядок уничтожения ПДн, в TOM числе хранящихся в информационных системах персональных данных, определяется Компанией в локальных нормативных актах.

2.3.3. В Компании для обеспечения выполнения обязанностей в части законности обработки персональных данных, предусмотренных Законом о персональных данных и принятыми в соответствии сним нормативными правовыми актами, принимаются следующие меры:

  • назначен Ответственный за организацию обработки персональных данных;
  • издаются локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодетельства РФ, устранение последствий таких нарушений;
  • применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  • осуществляется внутренний контроль соответствия Обработки персональных данных требованиям Згконом о персональных данных и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
  • проводится оценка вреда, который может быть причинен Субъектам персональных данных B случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Законом о персональных данных и принятых в соответствии с ним нормативных правовых актов;
  • Сотрудники Компании, непосредственно осуществляющие Обработку персональных данных, знакомятся с Законом о персональных данных и принятых B соответствии с ним нормативных правовыми актами, настоящей Политикой и локальными актами по вопросам обработки персональных данных.

2.3.4. В Компании реглизуются следующие требования к защите Персональных данных:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечение сохранности носителей Персональных данных;
  • утверждение документа, определяющего перечень Сотрудников, доступ которых к Персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • назначение должностного лица (Сотрудника), ответственного за обеспечение безопасности Персональных данных в информационных системах персональных данных;
  • возложение на одно из структурных подразделений Компании функций по обеспечению безопасности Персональных данных в информационных системах Персональных данных;
  • выполнение требований, установленных Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3. Заключительные положения

3.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте АО «Эйч энд Эн».

Настоящая Политика подготовлена в соответствии с законом о персональных данных, а также иными законодательными и подзаконными нормативно-правовыми актами в сфере Персональных данных.

3.2. Настоящая Политика обязательна при организации процессов обработки и обеспечения безопасности персональных данных в Компании.

3.3. Настоящая Политика подлежит актуализации в сроки и порядке, установленными в локальных нормативных актах Компании, а также в случае изменения законодательства РФ о персональных данных.

3.4. Ответственный за обработку персональных данных обеспечивает внутренний контроль за соблюдением Компанией и его Сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных. В случае выявления нарушений, допущенных при Обработке персональных данных и выявленных в результате внутреннего контроля и аудите соответствия Обработки персональных данных, Ответственный за обработку персональных в случае необходимости:

  • организует актуализацию настоящей Политики и иных локальных актов Компании;
  • инициирует применение дисциплинарного взыскания к Сотрудникам Компании;
  • инициирует применение санкций к лицу, осуществляющему обработку ПДн по поручению Компании;
  • принимает иные меры, направленные на устранение выявленных нарушений

3.5. Политика может быть изменена на основании приказа генерального директора или уполномоченного им лица.

Скачать документ