Положение об обработке и защите персональных данных
УТВЕРЖДЕНО
Приказом Генерального директора
ООО «ЕВРО ФУДС»
от «16» февраля 2026 г. № 12
ПОЛОЖЕНИЕ № 1 об обработке и защите персональных данных в ООО «ЕВРО ФУДС»
г. Химки, Московская область
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке и защите персональных данных (далее — Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о ПДн), Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также иными нормативными правовыми актами, регулирующими отношения в сфере персональных данных.
1.2. Настоящее Положение является локальным нормативным актом ООО «ЕВРО ФУДС» (далее — Общество, Оператор), определяющим:
- порядок и условия обработки персональных данных работников Общества и других субъектов персональных данных (клиентов, контрагентов, посетителей сайта);
- права и обязанности Общества при обработке персональных данных;
- права субъектов персональных данных;
- перечень мер, направленных на обеспечение безопасности персональных данных при их обработке;
- порядок реагирования на инциденты, связанные с нарушением безопасности персональных данных.
1.3. Действие настоящего Положения распространяется на всех работников Общества (как состоящих, так и не состоящих в трудовых отношениях, например, соискателей), а также на лиц, чьи персональные данные обрабатываются Обществом в рамках договорных и иных гражданско-правовых отношений (клиенты, заказчики, поставщики, подрядчики, посетители сайта).
1.4. Во всех случаях, не урегулированных настоящим Положением, Общество руководствуется действующим законодательством РФ в области персональных данных.
Настоящая Положение действует в части, не противоречащей законодательству Российской Федерации. В случае изменения законодательства РФ условия Положения применяются в соответствии с новыми нормами до момента приведения Положения в соответствие с ними.
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные (ПДн)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор- ООО «ЕВРО ФУДС», самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных;
Обработка персональных данных- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Информационная система персональных данных (ИСПДн)- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Оператором утверждается отдельным распорядительным актом Перечень информационных систем персональных данных, обрабатываемых в Обществе, с указанием их категорирования и уровня защищенности.
2.3. Состав персональных данных работников и соискателей:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные (серия, номер, кем и когда выдан);
- адрес регистрации и фактического проживания;
- сведения об образовании, квалификации, профессиональной подготовке;
- сведения о трудовой деятельности (стаж, предыдущие места работы, воинский учет);
- номера контактных телефонов, адрес электронной почты;
- сведения о семейном положении, наличии детей;
- сведения о доходах и налоговых вычетах;
- иные данные, предоставляемые работником в соответствии с требованиями трудового законодательства.
2.4. Состав персональных данных контрагентов (физических лиц и представителей юридических лиц):
- фамилия, имя, отчество;
- паспортные данные (для заключения договоров с самозанятыми/физлицами);
- ИНН, СНИЛС (для целей бухгалтерской отчетности);
- должность;
- номера контактных телефонов, адреса электронной почты;
- банковские реквизиты физического лица.
2.5. Состав персональных данных клиентов и посетителей сайта (включая лиц, оставляющих отзывы):
- фамилия, имя, отчество (при наличии);
- номер контактного телефона;
- адрес электронной почты (e-mail);
- содержание обращения (текст отзыва, вопроса, претензии, предложения);
- иные данные, указанные субъектом в обращении.
2.6. Обработка биометрических персональных данных (фотографий, используемых для идентификации, например, для пропускного режима) осуществляется только при наличии отдельного согласия субъекта в письменной форме, за исключением случаев, предусмотренных законодательством РФ. Фотографии, используемые в личных делах работников (для внутреннего учета), не относятся к биометрическим данным при условии, что они не используются для идентификации в автоматизированном режиме.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных работников осуществляется исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов;
- содействия работникам в трудоустройстве, обучении и продвижении по службе;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества;
- ведения кадрового и бухгалтерского учета;
- исчисления и уплаты налогов и страховых взносов;
- заполнения и передачи в контролирующие органы необходимой отчетности.
3.2. Обработка персональных данных контрагентов (включая представителей юридических лиц) осуществляется в целях:
- заключения и исполнения договоров гражданско-правового характера;
- ведения бухгалтерского учета;
- выполнения требований налогового законодательства (выставление счетов, актов, оплата);
- осуществления связи с контрагентом в процессе исполнения обязательств.
3.3. Обработка персональных данных клиентов и посетителей сайта осуществляется в целях:
- осуществления обратной связи с потребителем (ответ на отзыв, вопрос, жалобу, претензию);
- консультирования по вопросам продукции и услуг Общества;
- улучшения качества продукции и сервиса компании (анализ обратной связи);
- проведения статистических и маркетинговых исследований (в обезличенном виде);
- информирования о товарах, услугах и акциях (при наличии отдельного согласия на рекламную рассылку).
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных: Конституция РФ; Трудовой кодекс РФ; Гражданский кодекс РФ; Налоговый кодекс РФ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
4.2. Правовым основанием обработки персональных данных также являются:
- Устав ООО «ЕВРО ФУДС»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку их персональных данных.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства РФ.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством РФ.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются только работники Общества, в должностные обязанности которых входит обработка персональных данных. Перечень таких должностей утверждается отдельным приказом Генерального директора.
5.5. Оператор не осуществляет раскрытие персональных данных третьим лицам без согласия субъекта, за исключением случаев, предусмотренных федеральным законом (передача в ПФР, ФНС, по запросу суда, МВД и т.д.).
5.6. Передача персональных данных оператором третьим лицам (хостинг-провайдерам, операторам связи, курьерским службам) осуществляется на основании договоров, содержащих условие о соблюдении конфиденциальности персональных данных и требований 152-ФЗ, а также обязанность третьих лиц уведомлять Оператора о ставших известными фактах инцидентов безопасности.
5.7. Оператор не осуществляет трансграничную передачу персональных данных. Оператор обеспечивает, чтобы все лица, привлекаемые к обработке персональных данных (в том числе хостинг-провайдеры, операторы связи, разработчики и обслуживающие организации), осуществляли обработку на территории Российской Федерации с использованием серверов, расположенных на территории РФ. Оператор не размещает персональные данные на иностранных облачных платформах и сервисах, если иное не предусмотрено отдельным соглашением с субъектом персональных данных.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные субъектов обрабатываются и хранятся не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.
- Персональные данные работников хранятся в течение срока действия трудового договора, а после его прекращения — в течение сроков хранения, установленных законодательством РФ об архивном деле.
- Персональные данные соискателей, не принятых на работу, хранятся в течение 3 (трех) месяцев с даты принятия решения об отказе в приеме на работу, после чего подлежат уничтожению, если иное не предусмотрено отдельным согласием соискателя.
- Персональные данные клиентов и лиц, оставивших обращения (отзывы), хранятся в течение 1 (одного) года с момента поступления обращения, если иной срок не установлен договором или не требуется для исполнения обязательств, либо до момента отзыва согласия субъектом персональных данных, если иной срок не установлен договором или не требуется для исполнения обязательств.
- Персональные данные контрагентов хранятся в течение срока действия договора и в течение 5 (пяти) лет после его окончания.
По истечении указанного срока данные подлежат обезличиванию или уничтожению.
6.2. Документы, содержащие персональные данные, хранятся в запираемых шкафах (сейфах), доступ к которым ограничен.
6.3. При обработке персональных данных в информационных системах используются парольные средства защиты, антивирусное программное обеспечение, а также обеспечивается резервное копирование данных.
6.4. Уничтожение документов (носителей), содержащих персональные данные, производится способом, исключающим возможность ознакомления с ними посторонних лиц (сжигание, измельчение, стирание).
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
- получать полную информацию о своих персональных данных, обрабатываемых Оператором;
- требовать исключения или исправления неверных или неполных персональных данных;
- требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них изменениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора;
- на отзыв согласия на обработку персональных данных.
7.2. Во исполнение указанных прав Оператор обязан:
- предоставить субъекту безвозмездно возможность ознакомления с его персональными данными;
- внести необходимые изменения в персональные данные при подтверждении их неточности;
- уведомить субъекта о всех произведенных изменениях;
- прекратить обработку персональных данных при отзыве субъектом согласия в срок, не превышающий 30 (тридцати) дней с даты поступления отзыва, если иное не предусмотрено законом.
8. ОБЯЗАННОСТИ ОПЕРАТОРА
8.1. Оператор обязан:
- при обработке персональных данных принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий;
- назначать лиц, ответственных за организацию обработки ПДн;
- издавать локальные акты по вопросам обработки ПДн;
- получать согласие субъекта на обработку ПДн, за исключением случаев, предусмотренных законом;
- обеспечить неограниченный доступ к Политике обработки ПДн;
- осуществлять внутренний контроль соответствия обработки ПДн требованиям 152-ФЗ.
9. ОТВЕТСТВЕННОСТЬ
9.1. Лица, виновные в нарушении правил сбора, обработки, хранения и защиты персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, подлежит возмещению в соответствии с законодательством РФ.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящее Положение вступает в силу с даты его утверждения Генеральным директором и действует до отмены или принятия нового Положения.
10.2. Работники Общества должны быть ознакомлены с настоящим Положением под роспись.
10.3. Изменения и дополнения в настоящее Положение вносятся приказом Генерального директора.