Политика
ООО «Группа Компаний Оскар»
в отношении обработки и конфиденциальности
персональных данных на Сервисе/Платформе HRBOX
(Новая редакция)

УТВЕРЖДЕНО

Приказом

генерального директора

ООО "Группа Компаний Оскар"

01.06.2023 года


Настоящая Политика конфиденциальности и обработки персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую HRBOX, расположенный на доменном имени hrbox.io, может получить о Пользователе во время использования сайта, программ и продуктов, а также на Сервисе/Платформе HRBOX.


1. Общие положения


1.1. Настоящая Политика Общества с ограниченной ответственностью «Группа Компаний Оскар» (ИНН 7714457444; далее - Оператор, ООО «Группа Компаний Оскар») в отношении обработки и конфиденциальности персональных данных (далее - Политика) является внутренним локальным нормативным актом Оператора, разработанным согласно требованиям п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и в целевом контексте, определенном п. 3.5. настоящей Политики.

1.2. ООО «Группа Компаний Оскар» включено Приказом Роскомнадзора № 16 от 25.01.2021 года в реестр операторов, осуществляющих обработку персональных данных (далее по тексту - ПДн) за регистрационным номером 77-21-018767.

1.3. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «Группа Компаний Оскар». Оператор обрабатывает только те ПДн, которые были предоставлены Пользователем Сервиса, путем размещения соответствующих данных им лично на Сервисе.

1.4. Основные понятия, используемые в Политике, интерпретируются в аналогичном содержательном значении, определенном статьей 3-й Закона о персональных данных. Ниже будут изложены характерологические определения, относимые к определенному роду договорных отношений в рамках использования Сервиса HRBOX.

1.4.1. Сервис – это «платформа HRBOX для автоматизации процессов управления персоналом», понимаемая как программа для ЭВМ, состоящая из специализированного программного обеспечения, размещенная на программно-аппаратном комплексе Оператора, доступ к которой осуществляется посредством Сайта https://hrbox.io/. Исключительное право на Сервис HRBOX принадлежит Оператору: ООО «Группа Компаний Оскар». Термины «платформа», «сервис» равнозначны.

1.4.2. «Администрация Сервиса» – уполномоченные сотрудники на управление платформой, действующие от имени ООО «Группа компаний Оскар», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.

1.4.3. Пользователь Сервиса/Субъект ПДн – Общество, сотрудники Общества, а также сотрудники аффилированных компаний Общества, давшие согласие на целевую обработку своих ПДн в целях функционального использования Сервиса HRBOX на условиях простой (неисключительной) лицензии в рамках заключенного Лицензионного Договора или принятых положений публичной оферты: Пользовательского соглашения.

1.4.4. Персональные данные – любая информация, перечень которой закреплен в п. 3.4. настоящей Политики, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных – пользователю Сервиса, определенных в пункте 1.4.3. настоящей Политики).

1.4.5. «Мобильное приложение» – программа HRBOX для мобильных устройств, доступная для установки через сервисы «Google Play», «Apple Store» или иные подобные сервисы.

1.4.6. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Содержимое такого файла может, как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

1.4.7. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

1.4.8. «Конфиденциальность персональных данных» - обязательное для

соблюдения Оператором или иным законно получившим доступ к персональным данным

лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.5. Использование (в значении «пользования») Пользователем Платформы означает его согласие с настоящей Политикой обработки и конфиденциальности персональных данных Пользователя. В случае несогласия с условиями Политики обработки и конфиденциальности персональных данных Пользователь должен прекратить использование Сервиса.

1.6. Правовыми основаниями обработки персональных данных Оператором являются, в том числе: Конституция Российской Федерации; Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации; Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора; а также: уставные документы Оператора; договоры, заключаемые между Оператором и субъектами персональных данных; согласия субъектов персональных данных на обработку персональных данных; иные основания, когда согласие на обработку персональных данных не требуется в силу закона.


2. Основные права и обязанности Оператора


2.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.

2.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2) соблюдать, согласно статье 7 Закона о персональных данных, конфиденциальность и защиту персональных данных в соответствии с требованиями законодательства РФ;

3) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

4) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций: Роскомнадзор) по запросу этого органа необходимую информацию в течение 30-ти дней с даты получения такого запроса.

2.3. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) обратиться с просьбой к Оператору об уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) а также принимать предусмотренные законом меры по защите своих прав;

2.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

2.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Группа Компаний Оскар» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.


3. Объем и категории обрабатываемых персональных данных


3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.3. Оператор может обрабатывать персональные данные следующих субъектов персональных данных: работников Общества/Пользователя Сервиса (физических лиц, вступивших в трудовые отношения с Обществом) и сотрудников/работников аффилированных компаний Общества.

3.4. К персональным данным, обрабатываемым Оператором, относятся: фамилия, имя, отчество, пол, город проживания, день рождения, возраст, место рождения, гражданство, национальность; адрес электронной почты, контактный телефон, аккаунты (ник) в мессенджерах; должность сотрудника, структурное подразделение, в котором сотрудник работает, дата приема на работу, профессиональная деятельность: навыки, квалификация; фото - видеоизображения, предоставляемые пользователем и загружаемые им по своему усмотрению в Сервис; список контактов пользователя, включая, но, не ограничивая аккаунты пользователей с которыми происходит взаимодействие в программе, а также иные данные, которые Пользователь HRBOX самостоятельно передает путем внесения на портал Сервиса в период его использования.

3.4.1. Кроме того подлежат обработке электронные пользовательские данные: идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, геолокация, языковые настройки, часовой пояс, время и статистика использования приложений и информационных ресурсов, действия пользователей в сервисах, созданный пользователем контент. Сбор и обработка аналитических данных о деятельности Пользователя, для модернизации интерфейса Сервиса.

3.4.2. В целях информационного оповещения, технической защиты, определения статистических и аналитических данных и идентификации пользователя Сервиса, правомерности осуществляемых им действий, частоты использования Сервиса подлежат также обработке файлы «Cookie» Пользователей Сервиса и техническая информация о пользователях (дата регистрации, параметры устройства и веб-приложений, IP-адрес, результаты тестирования, история сообщений), с использованием технологии сервисов «Яндекс.Метрика», Mixpanel (In- app аналитика), «Google Analytics», а также генерирующие данные, используемые Сервисом (в том числе, но, не ограничиваясь: синхронизация данных с HRBOX из 1с или использование других источников кадровой системы, подключенных Пользователем Сервиса по API или плагином).

3.4.3. Пользователь Сервиса может запретить обработку cookie файлов в настройках своего браузера. Вместе с тем, Сервис предупреждает, что блокирование файлов cookie может нести в себе ограничение функционального использования Сервиса. Отключение cookies может повлечь невозможность доступа к частям Платформы, требующим авторизации. Сторонние организации не имеют доступа к нашим файлам «Cookie».

3.4.4. Платформа осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем. Платформа защищает Данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц Сайта, на которых установлен статистический скрипт системы ("пиксель").

3.4.5. Любая иная персональная информация неоговоренная выше (история действий и пр.) подлежит надежному хранению и нераспространению.

3.5. Обработка персональных данных осуществляется Оператором в целях:

3.5.1. Идентификации Пользователей Сервиса;

3.5.2. Предоставления Пользователю Сервиса права использования Сервиса и его функциональных возможностей;

3.5.3. Выполнения обязательств Оператора перед Пользователем Сервиса, связанных с корректным функционированием Сервиса (его конфиденциальности, целостности и доступности);

3.5.4. Установления с Пользователем Сервиса обратной связи, включая направление уведомлений, касающихся использования Сервиса, рассылок и информационных сообщений, обработка запросов и заявок от Пользователя;

3.5.5. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Платформы;

3.5.6. Осуществления рекламной деятельности исключительно с согласия Пользователя;

3.5.7. Предоставления Пользователю с его личного согласия, обновлений функционала, новостной рассылки и иных сведений от имени Платформы или от имени партнеров Платформы.

3.6. Разрешения, используемые в Программе:

- Разрешение на отправку уведомлений. Используется для получения актуальной информации Пользователем в режиме онлайн.

- Доступ к Камере и Микрофону устройства используется для получения доступа к Платформе через сканирование QR-Code, а также для отправки Пользователем фото и видео на Платформу.

- Доступ к Галереи и Файлам устройства. Используется для отправки фото, видео, документов и других видов файлов, используемых в программе. Платформа не несёт ответственности за загруженные пользователем материалы.

- Доступ к Контактам. Используется для сохранения контактной информации пользователей, с которыми взаимодействует пользователь внутри Платформы.

3.7. Трансграничная передача персональных данных Оператором не осуществляется.

Специальная категория ПДн и биометрические персональные данные не подлежат обработке Оператором.


4. Условия обработки персональных данных


4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

4.2. Обработка персональных данных осуществляется Оператором путем осуществления следующих действий: запись, накопление, хранение, уточнение (обновление, изменение), передача (предоставление), извлечение, блокирование, удаление, уничтожение персональных данных.

4.3. Оператор осуществляет обработку персональных данных, только в отношении тех персональных данных, для которых субъект персональных данных предоставил свое согласие, а также персональных данных, в отношении которых такое согласие не требуется в соответствии с действующим законодательством.

4.4. Оператор осуществляет обработку персональных данных субъектов ПДн с соблюдением принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в частности, положения отсылочного пункта 3 статьи 6, ст. 18, ст. 18.1., ст. 19 указанного закона, с соблюдением конфиденциальности и обеспечением безопасности персональных данных при их обработке.

4.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.6. При обработке персональных данных принимать необходимые правовые, организационные и технические меры», в том числе меры, установленные ст. 18.1. Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обработка ПДн осуществляется с помощью программно - автоматизированных средств с использованием баз данных, находящихся на территории Российской Федерации.

4.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить Пользователя Сервиса:

4.7.1. в течение 24 часов:

- о произошедшем инциденте, включая перечень персональных данных, категории субъектов персональных данных, количество субъектов персональных данных затронутых инцидентом;

- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;

- о предполагаемом вреде, нанесенном правам субъектов персональных данных;

- о принятых мерах по устранению последствий соответствующего инцидента;

- о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.

4.7.2. в течение 72 (семидесяти двух) часов: о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4.8. Администрация Платформы, не исполнившая свои обязательства, несет ответственность за доказанные убытки (в виде реального ущерба, при наличии прямо-установленной вины), понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п. 4.9. настоящей Политики Конфиденциальности.

4.9. В случае утраты или разглашения Конфиденциальной информации Администрация Платформы не несет ответственность, если данная конфиденциальная информация:

4.9.1. Стала публичным достоянием до ее утраты или разглашения.

4.9.2. Была получена от третьей стороны до момента ее получения Администрацией Платформы.

4.9.3. Была разглашена с согласия Пользователя.

4.10. Оператор не несет ответственность за нецелевое использование Персональных данных пользователей Сервиса, если указанное использование произошло вследствие:

4.10.1. предоставления Пользователем Сервиса паролей или иной информации о Сервисе третьим лицам, не являющимся зарегистрированными пользователями Сервиса, или иным пользователям, которые в связи с отсутствием регистрации в Сервисе или по иным причинам не имеют доступа к такой информации;

4.10.2. нарушения информационной безопасности Сервиса по вине Пользователя Сервиса;

4.10.3. перебоев в работе Сервиса, если такие перебои произошли по причине использования Пользователем Сервиса не по назначению;

4.10.4. технических неисправностей в программном обеспечении, компьютерных сетях и серверах, произошедших не по вине Оператора и не контролируемых им.

4.11. Оператор, согласно ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», обязуется прекратить обработку ПДн и/или обеспечить ее прекращение (в случае привлечения к обработке ПДн третьего лица) и уничтожить ПДн или обеспечить их уничтожение (в случае привлечения к обработке ПДн третьего лица) в срок, не превышающий 30 (тридцать) календарных дней, а по требованию Общества/ Пользователя Сервиса в течение 10 (десяти) рабочих дней или в сроки, установленные в уведомлении Общества Пользователя Сервиса, при наступлении одного из следующих событий:

- прекращение срока действия права доступа к Сервису;

- получение Оператором от Пользователя Сервиса уведомления о необходимости прекращения обработки ПДн;

- достижение Оператором заявленных Пользователем Сервиса целей обработки ПДн или утраты необходимости в достижении такой цели.

4.12. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

4.13. Администрация Сервиса не проверяет достоверность персональных данных, предоставляемых Пользователем Сервиса. Пользователь гарантирует достоверность передаваемых им ПДн.


5. Разрешение споров и применимое право


5.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем Сервиса и Администрацией Сервиса, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

5.2. Получатель претензии в течение 14 (четырнадцати) календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

5.3. При недостижении соглашения спор будет передан на рассмотрение в суд в порядке, установленном действующим законодательством Российской Федерации.

5.4. К настоящей Политике и отношениям между Пользователем и Администрацией Сервиса применяется действующее законодательство Российской Федерации.


6. Заключительные положения


6.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.

6.2. Настоящая Политика обработки и конфиденциальности персональных данных применяется только к Сервису HRBOX. Сервис не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам доступным на Сервисе.

6.3. Все предложения или вопросы по настоящей Политике обработки и конфиденциальности персональных данных следует сообщать по электронной почте lina@hrbox.io.

6.4. Администрация Сервиса имеет право в одностороннем порядке вносить изменения в настоящую Политику. При внесении изменений в Политике указывается дата последнего обновления редакции. Новая Политика обработки ПДн вступает в силу с момента ее размещения на Сервисе.

6.5.1. Настоящая Политика распространяется на отношения в области обработки и конфиденциальности персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

6.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора: https://hrbox.io/.



Дополнительная информация о лицензиаре (правообладателе):


Лицензиар (правообладатель): OOO "Группа компаний Оскар"

Карточка предприятия

По всем вопросам можно обращаться по телефону 8 (800) 600-36-65, или по email: info@hrbox.io