Политика обработки персональных данных

УТВЕРЖДЕНА
приказом ООО «Грейнрус»
от 12 января 2026 г. № 4/16ПД-01

1. Общие положения

1.1. Настоящая Политика разработана в целях определения правовых оснований, целей и способов обработки персональных данных в ООО «Грейнрус», категорий и перечня обрабатываемых персональных данных и содержит иные положения, связанные с обработкой и защитой персональных данных, в соответствии с действующим законодательством Российской Федерации.

1.2. Для целей настоящей Политики используются понятия, установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

1.3. В целях реализации настоящей Политики в ООО «Грейнрус» разрабатываются локальные нормативные акты, конкретизирующие вопросы обработки и защиты персональных данных.

1.4. Настоящая Политика является основой для разработки и актуализации ООО «Грейнрус» локальных нормативных актов, определяющих политику обработки в них персональных данных.

2. Принципы и правовые основания обработки персональных данных

2.1. Обработка персональных данных в ООО «Грейнрус» осуществляется в соответствии с принципами, установленными статьей 5 Закона № 152-ФЗ. 

2.2. Правовыми основаниями обработки персональных данных в ООО «Грейнрус» являются:

• положения нормативных правовых актов, во исполнение и в соответствии с которыми ООО «Грейнрус» осуществляет обработку персональных данных, включая Конституцию Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 01 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования», Федеральный закон от 28 декабря 2013 г. № 400-ФЗ «О страховых пенсиях», Закон № 152-ФЗ, Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• иные нормативные правовые акты Российской Федерации и уполномоченных органов государственной власти;
• Устав ООО «Грейнрус» и локальные нормативные акты ООО «Грейнрус»;
• договоры, заключаемые между ООО «Грейнрус» и субъектом персональных данных либо третьим лицом, по которым субъект персональных данных является выгодоприобретателем или поручителем;
• согласия субъектов персональных данных на обработку персональных данных, оформленные с учетом требований законодательства Российской Федерации для соответствующей категории персональных данных.

3. Цели обработки персональных данных в ООО «Грейнрус», категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных

3.1. Обработка персональных данных субъектов персональных данных осуществляется в ООО «Грейнрус» в следующих целях:

• осуществление ООО «Грейнрус» функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации и Уставом ООО «Грейнрус»;
• регулирование трудовых и иных непосредственно связанных с ними отношений с работниками;
• подбор персонала для замещения должностей в ООО «Грейнрус», формирование кадрового резерва в ООО «Грейнрус»;
• предоставление дополнительных гарантий и компенсаций работникам ООО «Грейнрус» и членам их семей;
• подготовка, заключение, исполнение и прекращение гражданско-правового договора, стороной которого является ООО «Грейнрус»;
• рассмотрение обращений граждан Российской Федерации и иных физических лиц;
• обеспечение пропускного и внутриобъектового режимов на объектах ООО «Грейнрус»;
• освещение деятельности ООО «Грейнрус» на сайтах, администрируемых ООО «Грейнрус» в информационно-телекоммуникационной сети «Интернет»;
• организация социально значимых и корпоративных мероприятий ООО «Грейнрус»;
• формирование справочных материалов для внутреннего информационного обеспечения деятельности ООО «Грейнрус».

3.2. В зависимости от задач и функций, выполняемых структурными подразделениями ООО «Грейнрус», цели обработки персональных данных могут быть конкретизированы (включая указание дополнительной информации, определяющей особенности обработки персональных данных) локальной документацией, регламентирующей обработку персональных данных, в рамках определенных настоящей Политикой целей.

3.3. К категориям субъектов, персональные данные которых обрабатываются в ООО «Грейнрус» для обеспечения реализации целей обработки персональных данных, указанных в пункте 3.1 настоящей Политики, относятся:

• работники ООО «Грейнрус»;
• члены семей и близкие родственники работников ООО «Грейнрус», в том числе застрахованные (подлежащие страхованию) по договорам добровольного медицинского страхования, заключаемым ООО «Грейнрус»;
• кандидаты на замещение должностей в ООО «Грейнрус»;
• члены семей и близкие родственники кандидатов на замещение должностей в ООО  «Грейнрус»;
• бывшие работники ООО «Грейнрус»;
• лица, принятые на прохождение практики в ООО «Грейнрус»
• физические лица, представляемые к поощрению ООО «Грейнрус»;
• контрагенты ООО «Грейнрус» (физические лица);
• представители контрагентов ООО «Грейнрус» (юридических лиц);
• физические лица в цепочке собственников контрагентов ООО «Грейнрус», включая бенефициаров;
• лица, входящие в состав органов управления ООО «Грейнрус» и органов контроля за финансово-хозяйственной деятельностью ООО «Грейнрус» (в т.ч. участники общества, конечные бенецифиары и др.);
• физические лица, являющиеся клиентами (участниками закупок) товаров, работ, услуг, проводимых ООО  «Грейнрус»;
• участники, победители маркетинговых акций, конкурсов и иных мероприятий, проводимых ООО «Грейнрус»
• посетители, пропускаемые на объекты ООО «Грейнрус»;
• физические лица, направляющие обращения в ООО «Грейнрус»;
• пользователи сайтов, администрируемых ООО «Грейнрус» в информационно-телекоммуникационной сети «Интернет»;
• иные физические лица, предоставившие свои персональные данные в целях их обработки, предусмотренных пунктом 3.1 настоящей Политики.

3.4. Категории и перечень персональных данных, обрабатываемых в ООО «Грейнрус» по каждой из категорий субъектов персональных данных, указанных в пункте 3.3 настоящей Политики, определяются в соответствии с законодательством Российской Федерации и международными договорами Российской Федерации, локальными нормативными актами ООО «Грейнрус» с учетом целей обработки персональных данных, указанных в пункте 3.1 настоящей Политики, и включают:

• фамилию, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии) в случае их изменения); дату и место рождения; дату смерти; сведения, содержащиеся в документах, удостоверяющих личность; пол; гражданство (в том числе гражданство иностранного государства, подданство); адрес регистрации; адрес фактического проживания; идентификационный номер налогоплательщика; страховой номер индивидуального лицевого счета; сведения, содержащиеся в документах воинского учета; сведения, содержащиеся в документах об образовании, квалификации; место работы; сведения о занимаемой должности; адрес выполнения трудовой функции дистанционно (удаленно); данные о трудовой деятельности; сведения о доходах; сведения о включении в резерв кадров; сведения об участии в органах управления юридических лиц; сведения о семейном положении; сведения о составе семьи; сведения, содержащиеся в документах о наградах; сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации, а также локальными нормативными актами ООО «Грейнрус»; сведения о владении иностранными языками; сведения о наличии ученой степени, ученого звания; сведения о результатах аттестации; сведения о дисциплинарных взысканиях; сведения, содержащиеся в трудовом договоре; сведения о государственной или муниципальной службе; сведения о пребывании за границей; иные сведения, указанные в автобиографии; телефонный абонентский номер (служебный, личный); адрес электронной почты; сведения об иждивенцах; номер лицевого счета банковской карты; фотографию; данные, которые образуются при посещении сайтов,  администрируемых ООО «Грейнрус» (файлы cookies); иные сведения, которые отвечают целям обработки персональных данных, указанным в пункте 3.1 настоящей Политики, и предоставлены субъектом персональных данных;
• персональные данные, входящие в категорию «специальные категории персональных данных», — сведения о наличии или отсутствии судимости; сведения о состоянии здоровья в случаях, предусмотренных законодательством Российской Федерации.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Грейнрус» не осуществляется.

Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются для установления личности субъекта персональных данных) в ООО «Грейнрус» не осуществляется.

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в ООО «Грейнрус» на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.

3.5. Для каждой цели обработки персональных данных, указанной в пункте 3.1 настоящей Политики, используется один из способов обработки персональных данных — автоматизированный, неавтоматизированный или смешанный:

• автоматизированный — с применением средств вычислительной техники и специальных сетевых каталогов, предназначенных для работы с конфиденциальной информацией и (или) в информационных системах персональных данных;
• неавтоматизированный — путем ведения журналов, дел в соответствии с номенклатурой дел и фиксации персональных данных на иных бумажных носителях в соответствии с документацией, регламентирующей обработку персональных данных в ООО «Грейнрус»;
• смешанный — совокупность указанных способов.

3.6. Сроки обработки и хранения персональных данных категорий субъектов персональных данных, указанных в пункте 3.3 настоящей Политики, определяются в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов ООО «Грейнрус», регламентирующих данные вопросы, а также положениями договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, а при их отсутствии — согласием субъекта персональных данных на обработку персональных данных.

При этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.

3.7. В ООО «Грейнрус» осуществляется контроль за сроками обработки и хранения персональных данных.

Документы и (или) иные материальные носители, содержащие персональные данные, а также персональные данные, содержащиеся в информационных системах персональных данных, файловых сетевых каталогах или на внешних перезаписываемых электронных носителях, уничтожаются по достижении целей обработки или при наступлении иных законных оснований:

• в случае утраты необходимости в достижении цели обработки персональных данных, если иное не установлено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, и (или) иными применимыми нормативными правовыми актами Российской Федерации;
• при выявлении факта неправомерной обработки персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации;
• по истечении срока обработки персональных данных, установленного при сборе персональных данных;
• в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, установленных Законом № 152-ФЗ.

Порядок и способы уничтожения персональных данных определяются локальными нормативными актами ООО «Грейнрус» в области персональных данных и конфиденциального делопроизводства в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляются запись и хранение персональных данных.

4. Условия и порядок обработки персональных данных в ООО «Грейнрус»

4.1. Обработка персональных данных в ООО «Грейнрус» допускается в случаях, установленных статьей 6 Закона № 152-ФЗ.

4.2. ООО «Грейнрус» без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Законом № 152-ФЗ.

4.3. ООО «Грейнрус» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора в соответствии с требованиями части 3 статьи 6 Закона № 152-ФЗ. 

4.4. В целях внутреннего информационного обеспечения ООО «Грейнрус» могут создаваться справочники и другие источники, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его персональные данные.

4.5. Доступ к обрабатываемым в ООО «Грейнрус» персональным данным разрешается только лицам, включенным в перечень лиц, допущенных к обработке персональных данных, установленный локальной документацией ООО «Грейнрус» (далее — Перечень).

4.6. Передача персональных данных работников ООО «Грейнрус» и других субъектов, персональные данные которых обрабатываются в ООО «Грейнрус», третьим лицам допускается с письменного согласия указанных субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами.

4.7. ООО «Грейнрус» вправе осуществлять трансграничную передачу персональных данных в соответствии с требованиями Закона № 152-ФЗ и международных договоров Российской Федерации, на основаниях, установленных локальной документацией, регламентирующей обработку персональных данных и в рамках определенных настоящей Политикой целей.

5. Права субъектов персональных данных

Права субъектов персональных данных определены действующим законодательством Российской Федерации и включают право на:

• получение информации об их персональных данных, обрабатываемых в ООО «Грейнрус» в объеме сведений, предусмотренных статьей 14 Закона № 152-ФЗ. Субъект персональных данных может направить обращение в ООО «Грейнрус» в письменной форме по почтовому адресу: 119048, г. Москва, Учебный пер. д.4 стр.1, либо по адресу электронной почты request@grainrus.com в порядке, предусмотренном Законом № 152-ФЗ;
• доступ к своим персональным данным, обработка которых осуществляется в ООО «Грейнрус», за исключением случаев, предусмотренных Законом № 152-ФЗ;
• уточнение своих персональных данных, обработка которых осуществляется в ООО «Грейнрус», их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку персональных данных, предоставленного ООО «Грейнрус»;
• принятие предусмотренных законом мер по защите своих прав;
• обжалование действия или бездействия ООО «Грейнрус», осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• направление требования в ООО «Грейнрус» о прекращении передачи (распространения, предоставления, доступа) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения;
• осуществление иных предусмотренных законодательством Российской Федерации прав.

6. Меры, принимаемые ООО «Грейнрус» для обеспечения выполнения обязанностей оператора при обработке персональных данных

6.1. ООО «Грейнрус» принимает необходимые и достаточные меры, направленные на обеспечение выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, которые включают:

• назначение лица, ответственного за организацию обработки персональных данных в ООО «Грейнрус»;
• издание локальных нормативных актов в области обработки и защиты персональных данных;
• опубликование настоящей Политики на сайтах, администрируемых ООО «Грейнрус» в информационно-телекоммуникационной сети «Интернет», в том числе на страницах сайтов ООО «Грейнрус», с использованием которых осуществляется сбор персональных данных;
• получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• предоставление субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
• осуществление внутреннего контроля соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам ООО «Грейнрус»;
• проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, а также соотношения указанного вреда и принимаемых ООО «Грейнрус» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных;
• организацию обучения и проведение методической работы с работниками ООО  «Грейнрус», занимающими должности, включенные в Перечень;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• обеспечение безопасности персональных данных при их передаче по открытым каналам связи;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

6.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами ООО «Грейнрус», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Грейнрус».

7. Внутренний контроль соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам ООО «Грейнрус»

7.1. Внутренний контроль соответствия обработки персональных данных положениям Закона № 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам ООО «Грейнрус» осуществляется лицом, ответственным за организацию обработки персональных данных в ООО «Грейнрус», в порядке, определенном локальными нормативными актами ООО «Грейнрус» в области персональных данных.

7.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов ООО «Грейнрус» в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.