Вы на правильном пути!
Заполните форму, чтобы получить доступ к демонстрационной версии
Политика ООО «Группа Компаний Оскар»
в отношении обработки и конфиденциальности персональных данных на Сервисе/Платформе HRBOX
(Новая редакция)
в отношении обработки и конфиденциальности персональных данных на Сервисе/Платформе HRBOX
(Новая редакция)
УТВЕРЖДЕНО
Приказом генерального директора
ООО "Группа Компаний Оскар"
Редакция от «15» октября 2025 г.
Настоящая Политика конфиденциальности и обработки персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую HRBOX, расположенный на доменном имени hrbox.io, может получить о Пользователе во время использования сайта, программ и продуктов, а также на Сервисе/Платформе HRBOX.
1. Общие положения
1.1. Настоящая Политика Общества с ограниченной ответственностью «Группа Компаний Оскар» (ИНН 7714457444, юридический адрес: 125252, город Москва, улица Авиаконструктора Микояна, дом 14, корпус 2, квартира 137) в отношении обработки и конфиденциальности персональных данных (далее - Политика) является внутренним локальным нормативным актом Оператора, разработанным согласно требованиям пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и в целевом контексте, определенном п. 3.5. настоящей Политики.
1.2. Общество с ограниченной ответственностью «Группа Компаний Оскар» (далее - Оператор, ООО «Группа Компаний Оскар») включено Приказом Роскомнадзора № 16 от 25.01.2021 года в реестр операторов, осуществляющих обработку персональных данных (далее по тексту - ПДн) за регистрационным номером 77-21-018767.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «Группа Компаний Оскар».
Настоящая Политика применяется к обработкам персональных данных, в которых ООО «Группа компаний Оскар» выступает оператором, в отношении персональных данных, размещаемых в Сервисе клиентами HRBOX (лицензиатами) и их сотрудниками, оператором является соответствующий лицензиат, а ООО «Группа компаний Оскар» действует как лицо, обрабатывающее персональные данные по поручению оператора на основании договора; настоящая Политика не изменяет распределение ролей, установленное договором.
1.4. Основные понятия, используемые в Политике, интерпретируются в аналогичном содержательном значении, определенном статьей 3 Закона о персональных данных. Ниже будут изложены характерологические определения, относимые к определенному роду договорных отношений в рамках использования Сервиса HRBOX.
1.4.1. Сервис – это «платформа HRBOX для автоматизации процессов управления персоналом», понимаемая как программа для ЭВМ, состоящая из специализированного программного обеспечения, размещенная на программно-аппаратном комплексе Оператора, доступ к которой осуществляется посредством Сайта https://hrbox.io/. Исключительное право на Сервис HRBOX принадлежит Оператору: ООО «Группа Компаний Оскар». Термины «платформа», «сервис» равнозначны.
1.4.2. «Администрация Сервиса» – уполномоченные сотрудники на управление платформой, действующие от имени ООО «Группа компаний Оскар», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.
Указанное относится только к обработкам, где ООО «Группа компаний Оскар» выступает оператором. При обработке персональных данных по поручению иного общества цели, состав и пределы обработки определяются клиентом-оператором; ООО «Группа компаний Оскар» действует как обработчик.
1.4.3. Пользователь Сервиса – Общество, сотрудники Общества, а также сотрудники аффилированных компаний Общества, давшие согласие на целевую обработку своих ПДн в целях функционального использования Сервиса HRBOX на условиях простой (неисключительной) лицензии в рамках заключенного Лицензионного Договора или принятых положений публичной оферты: Пользовательского соглашения.
1.4.4. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4.5. «Мобильное приложение» – программа HRBOX для мобильных устройств, доступная для установки через сервисы «Google Play», «Apple Store», «AppGallery» и «RuStore».
1.4.6. «Cookies» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Содержимое такого файла может, как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.
1.4.7. «IP-адрес» – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
1.4.8. «Конфиденциальность персональных данных» – обязательное для соблюдения Оператором или иным законно получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.5. Использование (в значении «пользования») Пользователем Платформы означает его согласие с настоящей Политикой обработки и конфиденциальности персональных данных Пользователя. В случае несогласия с условиями Политики обработки и конфиденциальности персональных данных Пользователь должен прекратить использование Сервиса.
1.6. Правовыми основаниями обработки персональных данных Оператором являются:
- Устав ООО «Группа Компаний Оскар»;
- согласия субъектов персональных данных на обработку персональных данных;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
2. Основные права и обязанности Оператора
2.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
2.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- соблюдать, согласно статье 7 Закона о персональных данных, конфиденциальность и защиту персональных данных в соответствии с требованиями законодательства Российской Федерации;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций: Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 (десяти) дней с даты получения такого запроса.
2.3. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- обратиться с просьбой к Оператору об уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- принимать предусмотренные законом меры по защите своих прав.
По вопросам, касающимся персональных данных, обрабатываемых в Сервисе по поручению клиента-оператора, субъект персональных данных обращается к соответствующему клиенту. При поступлении такого запроса в адрес ООО «Группа компаний Оскар» общество направляет его клиенту-оператору и/или исполняет обращение по поручению клиента на условиях договора.
2.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
2.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Группа Компаний Оскар» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
3. Объем и категории обрабатываемых персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Оператор обрабатывает персональные данные Пользователей Сервиса (работников Общества, работников сторонних организаций, являющихся клиентами Общества),с целью оказания услуг по автоматизации процессов управления персоналом с использованием Сервиса HRBOX.
Персональные данные работников клиентов Общества обрабатываются в Сервисе по поручению соответствующего клиента-оператора; категории данных и цели определяет клиент согласно договору.
3.4. К персональным данным Пользователей Сервиса, обрабатываемым Оператором, относятся: фамилия; имя; отчество; фото-видео изображение лица; должность; подразделение; сведения о руководителе; данные документа, удостоверяющего личность; дата трудоустройства; дата (день, месяц, год) рождения; даты отпуска; город; сведения об образовании; сведения о социальных сетях; номер телефона; адрес электронной почты; контактная информация; сведения о роли пользователя; сведения о привязанных трудоустройствах; табельный номер; сведения о целях; файлы, загруженные в систему; кадровые документы; сведения о встречах в календаре; сведения о результатах обучения; сведения об избранных материалах; сведения об идеях; сведения об опросах; сведения об уведомлениях; сумма кошелька; сведения о статусе регистрации; сведения о заработной плате; период больничного; тип больничного, а также электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, сведения об аппаратном и программном обеспечении, (браузер, операционная система, геолокация, языковые настройки, часовой пояс, время), статистика использования приложений и информационных ресурсов, действия пользователей в сервисах, созданный пользователем контент).
3.5. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют формы заказа демонстрации HRBOX на сайте (далее – Посетители сайта), в целях:
- обратной связи с Посетителем;
- осуществления консультаций и предложения решений, включая маркетинговые и коммерческие предложения;
- ведения клиентской базы.
3.6. К персональным данным Посетителей сайта, обрабатываемым Оператором, относятся: имя; адрес электронной почты; номер телефона; наименование компании; файлы cookies.
3.7. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют форму подписки на ежемесячный дайджест (далее – Подписчики), с целью предоставления информации (рекламных рассылок) по продуктам и услугам Оператора.
3.8. К персональным данным Подписчиков, обрабатываемым Оператором, относятся: адрес электронной почты; файлы cookies.
3.9. Оператор обрабатывает персональные данные физических лиц — посетителей сайта академии HRBOX, которые самостоятельно заполняют форму обратной связи для консультации по обучению (далее – Потенциальные обучающиеся), с целью предоставления информации о курсах, форматах и условиях обучения в академии HRBOX.
3.10. К персональным данным Потенциальных обучающихся, обрабатываемым Оператором, относятся: имя, адрес электронной почты, номер телефона; файлы cookies.
3.11. Оператор обрабатывает персональные данные физических лиц — посетителей сайта академии HRBOX, которые самостоятельно заполняют форму обратной связи и оплачивают курсы по обучению (далее – Обучающиеся), с целью обучения в академии HRBOX.
3.12. К персональным данным Обучающихся, обрабатываемым Оператором, относятся: фамилия, имя, отчество, адрес электронной почты, номер телефона; файлы cookies.
3.13. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют форму обратной связи по актуальным вакансиям (далее – Соискатель вакансии), с целью подбора персонала (соискателей) на вакантные должности Общества.
3.14. К персональным данным Подписчиков, обрабатываемым Оператором, относятся: имя, номер телефона, адрес электронной почты, сведения о вакансии, ссылка на резюме; файлы cookies.
3.15. Основанием для обработки персональных данных является добровольное согласие Субъекта персональных данных, выраженное путем проставления отметки (чекбокса) под формой сбора персональных данных на сайте, а также иные положения законодательства Российской Федерации, допускающие обработку данных без согласия.
3.16. Срок хранения персональных данных Субъектов персональных данных составляет 3 (три) года с момента получения данных или до момента отзыва согласия, если он поступит ранее.
3.17. В целях информационного оповещения, технической защиты, определения статистических и аналитических данных и идентификации пользователя Сервиса, правомерности осуществляемых им действий, частоты использования Сервиса подлежат также обработке файлы «Cookie» Пользователей Сервиса и техническая информация о пользователях (дата регистрации, параметры устройства и веб-приложений, IP-адрес, результаты тестирования, история сообщений), с использованием технологии сервисов «Яндекс.Метрика», Mixpanel (In- app аналитика), а также генерирующие данные, используемые Сервисом (в том числе, но, не ограничиваясь: синхронизация данных с HRBOX из 1с или использование других источников кадровой системы, подключенных Пользователем Сервиса по API или плагином).
3.18. Пользователь Сервиса может запретить обработку cookie файлов в настройках своего браузера. Вместе с тем, Сервис предупреждает, что блокирование файлов cookie может нести в себе ограничение функционального использования Сервиса. Отключение cookies может повлечь невозможность доступа к частям Платформы, требующим авторизации. Сторонние организации не имеют доступа к нашим файлам «Cookie».
3.19. Платформа осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем. Платформа защищает Данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц Сайта, на которых установлен статистический скрипт системы ("пиксель").
4. Условия обработки персональных данных
Положения настоящего раздела применяются к обработкам, где ООО «Группа компаний Оскар» — оператор. При обработке персональных данных по поручению клиента-оператора применяются условия и операции обработки, установленные договором с клиентом; ООО «Группа компаний Оскар» не определяет цели и состав таких обработок.
4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка персональных данных осуществляется автоматизировано с помощью средств вычислительной техники с использованием баз данных, находящихся на территории Российской Федерации.
Трансграничная передача персональных данных Оператором не осуществляется.
4.3. Обработка специальных и биометрических категорий персональных данных Оператором не осуществляется.
4.4. Передача Оператором персональных данных третьим лицам осуществляется исключительно с согласия субъекта персональных данных, а также для исполнения требований законодательства Российской Федерации. Правовое основание, цели и состав передаваемых персональных данных определяется в Согласии субъекта персональных данных на передачу персональных данных третьим лицам.
4.5. Обработка персональных данных осуществляется Оператором путем осуществления следующих действий: запись, накопление, хранение, уточнение (обновление, изменение), передача (предоставление), извлечение, блокирование, удаление, уничтожение персональных данных.
4.6. Оператор осуществляет обработку персональных данных, только в отношении тех персональных данных, для которых субъект персональных данных предоставил свое согласие, а также персональных данных, в отношении которых такое согласие не требуется в соответствии с действующим законодательством Российской Федерации.
4.7. Оператор осуществляет обработку персональных данных субъектов ПДн с соблюдением принципов и правил обработки персональных данных, предусмотренных Законом о персональных данных, в частности, положения отсылочного пункта 3 статьи 6, статьи 18, статьи 18.1 и статьи 19 указанного закона, с соблюдением конфиденциальности и обеспечением безопасности персональных данных при их обработке.
4.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.9. При обработке персональных данных принимать необходимые правовые, организационные и технические меры», в том числе меры, установленные статьей 18.1 Закона о персональных данных или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций:
4.10.1. В течение 24 (двадцати четырех) часов подать уведомление, содержащее информацию:
- о произошедшем инциденте;
- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
- предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий соответствующего инцидента;
- сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
4.10.2. В течение 72 (семидесяти двух) часов: подать уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.11. В случае установления факта компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, Оператор обязан в течение 24-х часов с момента обнаружения компьютерного инцидента уведомить Федеральную службу безопасности Российской Федерации через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. В уведомлении необходимо указать следующую информацию:
- дату, время, место происшествия;
- наличие связи между инцидентом и компьютерной атакой;
- связь с другими происшествиями (при наличии);
- технические параметры компьютерного инцидента;
- последствия компьютерного инцидента.
4.12. Администрация Платформы, не исполнившая свои обязательства, несет ответственность за доказанные убытки (в виде реального ущерба, при наличии прямо-установленной вины), понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п. 4.13. настоящей Политики Конфиденциальности.
4.13. В случае утраты или разглашения Конфиденциальной информации Администрация Платформы не несет ответственность, если данная конфиденциальная информация:
- стала публичным достоянием до ее утраты или разглашения;
- была получена от третьей стороны до момента ее получения Администрацией Платформы;
- была разглашена с согласия Пользователя.
4.14. Оператор не несет ответственность за нецелевое использование Персональных данных пользователей Сервиса, если указанное использование произошло вследствие:
- предоставления Пользователем Сервиса паролей или иной информации о Сервисе третьим лицам, не являющимся зарегистрированными пользователями Сервиса, или иным пользователям, которые в связи с отсутствием регистрации в Сервисе или по иным причинам не имеют доступа к такой информации;
- нарушения информационной безопасности Сервиса по вине Пользователя Сервиса;
- перебоев в работе Сервиса, если такие перебои произошли по причине использования Пользователем Сервиса не по назначению;
- технических неисправностей в программном обеспечении, компьютерных сетях и серверах, произошедших не по вине Оператора и не контролируемых им.
4.15. Субъект персональных данных вправе отозвать свое согласие в любой момент, направив соответствующее уведомление на адрес электронной почты: info@hrbox.io.
4.16. Оператор, согласно статье 21 Закона о персональных данных, обязуется прекратить обработку ПДн и/или обеспечить ее прекращение (в случае привлечения к обработке ПДн третьего лица) и уничтожить ПДн или обеспечить их уничтожение (в случае привлечения к обработке ПДн третьего лица) в срок, не превышающий 30 (тридцать) календарных дней, а по требованию субъекта ПДн в течение 10 (десяти) рабочих дней или в сроки, установленные в уведомлении Общества, при наступлении одного из следующих событий:
- прекращение срока действия права доступа к Сервису;
- получение Оператором от Пользователя Сервиса уведомления о необходимости прекращения обработки ПДн;
- достижение Оператором заявленных Пользователем Сервиса целей обработки ПДн или утраты необходимости в достижении такой цели.
4.17. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
4.18. Администрация Сервиса не проверяет достоверность персональных данных, предоставляемых Субъектом персональных данных. Субъект персональных данных гарантирует достоверность передаваемых им ПДн.
5. Разрешение споров и применимое право
5.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем Сервиса и Администрацией Сервиса, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
5.2. Получатель претензии в течение 14 (четырнадцати) календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
5.3. При недостижении соглашения спор будет передан на рассмотрение в суд в порядке, установленном действующим законодательством Российской Федерации.
5.4. К настоящей Политике и отношениям между Пользователем и Администрацией Сервиса применяется действующее законодательство Российской Федерации.
6. Заключительные положения
6.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.
6.2. Настоящая Политика обработки и конфиденциальности персональных данных применяется только к Сервису HRBOX. Сервис не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сервисе.
6.3. Все предложения или вопросы по настоящей Политике обработки и конфиденциальности персональных данных следует сообщать по электронной почте info@hrbox.io. Запросы, относящиеся к персональным данным, обрабатываемым по поручению клиента-оператора, просим направлять непосредственно соответствующему клиенту; при ошибочном направлении в адрес Общества запрос будет переадресован клиенту-оператору.
6.4. Администрация Сервиса имеет право в одностороннем порядке вносить изменения в настоящую Политику. При внесении изменений в Политике указывается дата последнего обновления редакции. Новая Политика обработки ПДн вступает в силу с момента ее размещения на Сервисе.
6.5. Настоящая Политика распространяется на отношения в области обработки и конфиденциальности персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
6.6. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора: https://hrbox.io/.
7. Обработка персональных данных посетителей сайта
7.1. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io (далее – Посетители), которые самостоятельно заполняют формы на сайте, включая форму запроса бесплатной консультации.
7.2. В рамках указанных форм могут обрабатываться следующие категории персональных данных:
- фамилия, имя, отчество;
- номер телефона;
- адрес электронной почты;
- наименование компании (при наличии);
- иные сведения, указанные добровольно в текстовых полях формы.
7.3. Целями обработки указанных данных являются:
- предоставление информации по продуктам и услугам Оператора;
- обратная связь с Посетителем;
- осуществление консультаций и предложение решений, включая маркетинговые и коммерческие предложения, рекламные рассылки по указанным контактам;
- ведение клиентской базы.
7.4. Основанием для обработки персональных данных Посетителей является их добровольное согласие, выраженное путем проставления отметки (чекбокса) под формой на сайте, а также иные положения законодательства Российской Федерации, допускающие обработку данных без согласия.
7.5. Срок хранения персональных данных Посетителей составляет 3 (три) года с момента получения данных или до момента отзыва согласия, если он поступит ранее.
7.6. Персональные данные могут быть переданы третьим лицам, осуществляющим техническую поддержку сайта, обработку заявок и хранение информации, исключительно в рамках заключенных договоров и в целях, указанных в настоящем разделе.
7.7. Посетитель вправе отозвать свое согласие в любой момент, направив соответствующее уведомление на адрес электронной почты: info@hrbox.io. Обработка персональных данных прекращается, и данные подлежат удалению в течение 10 рабочих дней с момента получения отзыва.
Предыдущие редакции настоящей Политики предоставляются по запросу.
1. Общие положения
1.1. Настоящая Политика Общества с ограниченной ответственностью «Группа Компаний Оскар» (ИНН 7714457444, юридический адрес: 125252, город Москва, улица Авиаконструктора Микояна, дом 14, корпус 2, квартира 137) в отношении обработки и конфиденциальности персональных данных (далее - Политика) является внутренним локальным нормативным актом Оператора, разработанным согласно требованиям пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и в целевом контексте, определенном п. 3.5. настоящей Политики.
1.2. Общество с ограниченной ответственностью «Группа Компаний Оскар» (далее - Оператор, ООО «Группа Компаний Оскар») включено Приказом Роскомнадзора № 16 от 25.01.2021 года в реестр операторов, осуществляющих обработку персональных данных (далее по тексту - ПДн) за регистрационным номером 77-21-018767.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «Группа Компаний Оскар».
Настоящая Политика применяется к обработкам персональных данных, в которых ООО «Группа компаний Оскар» выступает оператором, в отношении персональных данных, размещаемых в Сервисе клиентами HRBOX (лицензиатами) и их сотрудниками, оператором является соответствующий лицензиат, а ООО «Группа компаний Оскар» действует как лицо, обрабатывающее персональные данные по поручению оператора на основании договора; настоящая Политика не изменяет распределение ролей, установленное договором.
1.4. Основные понятия, используемые в Политике, интерпретируются в аналогичном содержательном значении, определенном статьей 3 Закона о персональных данных. Ниже будут изложены характерологические определения, относимые к определенному роду договорных отношений в рамках использования Сервиса HRBOX.
1.4.1. Сервис – это «платформа HRBOX для автоматизации процессов управления персоналом», понимаемая как программа для ЭВМ, состоящая из специализированного программного обеспечения, размещенная на программно-аппаратном комплексе Оператора, доступ к которой осуществляется посредством Сайта https://hrbox.io/. Исключительное право на Сервис HRBOX принадлежит Оператору: ООО «Группа Компаний Оскар». Термины «платформа», «сервис» равнозначны.
1.4.2. «Администрация Сервиса» – уполномоченные сотрудники на управление платформой, действующие от имени ООО «Группа компаний Оскар», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.
Указанное относится только к обработкам, где ООО «Группа компаний Оскар» выступает оператором. При обработке персональных данных по поручению иного общества цели, состав и пределы обработки определяются клиентом-оператором; ООО «Группа компаний Оскар» действует как обработчик.
1.4.3. Пользователь Сервиса – Общество, сотрудники Общества, а также сотрудники аффилированных компаний Общества, давшие согласие на целевую обработку своих ПДн в целях функционального использования Сервиса HRBOX на условиях простой (неисключительной) лицензии в рамках заключенного Лицензионного Договора или принятых положений публичной оферты: Пользовательского соглашения.
1.4.4. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.4.5. «Мобильное приложение» – программа HRBOX для мобильных устройств, доступная для установки через сервисы «Google Play», «Apple Store», «AppGallery» и «RuStore».
1.4.6. «Cookies» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Содержимое такого файла может, как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.
1.4.7. «IP-адрес» – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
1.4.8. «Конфиденциальность персональных данных» – обязательное для соблюдения Оператором или иным законно получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.5. Использование (в значении «пользования») Пользователем Платформы означает его согласие с настоящей Политикой обработки и конфиденциальности персональных данных Пользователя. В случае несогласия с условиями Политики обработки и конфиденциальности персональных данных Пользователь должен прекратить использование Сервиса.
1.6. Правовыми основаниями обработки персональных данных Оператором являются:
- Устав ООО «Группа Компаний Оскар»;
- согласия субъектов персональных данных на обработку персональных данных;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
2. Основные права и обязанности Оператора
2.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
2.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- соблюдать, согласно статье 7 Закона о персональных данных, конфиденциальность и защиту персональных данных в соответствии с требованиями законодательства Российской Федерации;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций: Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 (десяти) дней с даты получения такого запроса.
2.3. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- обратиться с просьбой к Оператору об уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- принимать предусмотренные законом меры по защите своих прав.
По вопросам, касающимся персональных данных, обрабатываемых в Сервисе по поручению клиента-оператора, субъект персональных данных обращается к соответствующему клиенту. При поступлении такого запроса в адрес ООО «Группа компаний Оскар» общество направляет его клиенту-оператору и/или исполняет обращение по поручению клиента на условиях договора.
2.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
2.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «Группа Компаний Оскар» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
3. Объем и категории обрабатываемых персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Оператор обрабатывает персональные данные Пользователей Сервиса (работников Общества, работников сторонних организаций, являющихся клиентами Общества),с целью оказания услуг по автоматизации процессов управления персоналом с использованием Сервиса HRBOX.
Персональные данные работников клиентов Общества обрабатываются в Сервисе по поручению соответствующего клиента-оператора; категории данных и цели определяет клиент согласно договору.
3.4. К персональным данным Пользователей Сервиса, обрабатываемым Оператором, относятся: фамилия; имя; отчество; фото-видео изображение лица; должность; подразделение; сведения о руководителе; данные документа, удостоверяющего личность; дата трудоустройства; дата (день, месяц, год) рождения; даты отпуска; город; сведения об образовании; сведения о социальных сетях; номер телефона; адрес электронной почты; контактная информация; сведения о роли пользователя; сведения о привязанных трудоустройствах; табельный номер; сведения о целях; файлы, загруженные в систему; кадровые документы; сведения о встречах в календаре; сведения о результатах обучения; сведения об избранных материалах; сведения об идеях; сведения об опросах; сведения об уведомлениях; сумма кошелька; сведения о статусе регистрации; сведения о заработной плате; период больничного; тип больничного, а также электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, сведения об аппаратном и программном обеспечении, (браузер, операционная система, геолокация, языковые настройки, часовой пояс, время), статистика использования приложений и информационных ресурсов, действия пользователей в сервисах, созданный пользователем контент).
3.5. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют формы заказа демонстрации HRBOX на сайте (далее – Посетители сайта), в целях:
- обратной связи с Посетителем;
- осуществления консультаций и предложения решений, включая маркетинговые и коммерческие предложения;
- ведения клиентской базы.
3.6. К персональным данным Посетителей сайта, обрабатываемым Оператором, относятся: имя; адрес электронной почты; номер телефона; наименование компании; файлы cookies.
3.7. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют форму подписки на ежемесячный дайджест (далее – Подписчики), с целью предоставления информации (рекламных рассылок) по продуктам и услугам Оператора.
3.8. К персональным данным Подписчиков, обрабатываемым Оператором, относятся: адрес электронной почты; файлы cookies.
3.9. Оператор обрабатывает персональные данные физических лиц — посетителей сайта академии HRBOX, которые самостоятельно заполняют форму обратной связи для консультации по обучению (далее – Потенциальные обучающиеся), с целью предоставления информации о курсах, форматах и условиях обучения в академии HRBOX.
3.10. К персональным данным Потенциальных обучающихся, обрабатываемым Оператором, относятся: имя, адрес электронной почты, номер телефона; файлы cookies.
3.11. Оператор обрабатывает персональные данные физических лиц — посетителей сайта академии HRBOX, которые самостоятельно заполняют форму обратной связи и оплачивают курсы по обучению (далее – Обучающиеся), с целью обучения в академии HRBOX.
3.12. К персональным данным Обучающихся, обрабатываемым Оператором, относятся: фамилия, имя, отчество, адрес электронной почты, номер телефона; файлы cookies.
3.13. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io, которые самостоятельно заполняют форму обратной связи по актуальным вакансиям (далее – Соискатель вакансии), с целью подбора персонала (соискателей) на вакантные должности Общества.
3.14. К персональным данным Подписчиков, обрабатываемым Оператором, относятся: имя, номер телефона, адрес электронной почты, сведения о вакансии, ссылка на резюме; файлы cookies.
3.15. Основанием для обработки персональных данных является добровольное согласие Субъекта персональных данных, выраженное путем проставления отметки (чекбокса) под формой сбора персональных данных на сайте, а также иные положения законодательства Российской Федерации, допускающие обработку данных без согласия.
3.16. Срок хранения персональных данных Субъектов персональных данных составляет 3 (три) года с момента получения данных или до момента отзыва согласия, если он поступит ранее.
3.17. В целях информационного оповещения, технической защиты, определения статистических и аналитических данных и идентификации пользователя Сервиса, правомерности осуществляемых им действий, частоты использования Сервиса подлежат также обработке файлы «Cookie» Пользователей Сервиса и техническая информация о пользователях (дата регистрации, параметры устройства и веб-приложений, IP-адрес, результаты тестирования, история сообщений), с использованием технологии сервисов «Яндекс.Метрика», Mixpanel (In- app аналитика), а также генерирующие данные, используемые Сервисом (в том числе, но, не ограничиваясь: синхронизация данных с HRBOX из 1с или использование других источников кадровой системы, подключенных Пользователем Сервиса по API или плагином).
3.18. Пользователь Сервиса может запретить обработку cookie файлов в настройках своего браузера. Вместе с тем, Сервис предупреждает, что блокирование файлов cookie может нести в себе ограничение функционального использования Сервиса. Отключение cookies может повлечь невозможность доступа к частям Платформы, требующим авторизации. Сторонние организации не имеют доступа к нашим файлам «Cookie».
3.19. Платформа осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем. Платформа защищает Данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц Сайта, на которых установлен статистический скрипт системы ("пиксель").
4. Условия обработки персональных данных
Положения настоящего раздела применяются к обработкам, где ООО «Группа компаний Оскар» — оператор. При обработке персональных данных по поручению клиента-оператора применяются условия и операции обработки, установленные договором с клиентом; ООО «Группа компаний Оскар» не определяет цели и состав таких обработок.
4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка персональных данных осуществляется автоматизировано с помощью средств вычислительной техники с использованием баз данных, находящихся на территории Российской Федерации.
Трансграничная передача персональных данных Оператором не осуществляется.
4.3. Обработка специальных и биометрических категорий персональных данных Оператором не осуществляется.
4.4. Передача Оператором персональных данных третьим лицам осуществляется исключительно с согласия субъекта персональных данных, а также для исполнения требований законодательства Российской Федерации. Правовое основание, цели и состав передаваемых персональных данных определяется в Согласии субъекта персональных данных на передачу персональных данных третьим лицам.
4.5. Обработка персональных данных осуществляется Оператором путем осуществления следующих действий: запись, накопление, хранение, уточнение (обновление, изменение), передача (предоставление), извлечение, блокирование, удаление, уничтожение персональных данных.
4.6. Оператор осуществляет обработку персональных данных, только в отношении тех персональных данных, для которых субъект персональных данных предоставил свое согласие, а также персональных данных, в отношении которых такое согласие не требуется в соответствии с действующим законодательством Российской Федерации.
4.7. Оператор осуществляет обработку персональных данных субъектов ПДн с соблюдением принципов и правил обработки персональных данных, предусмотренных Законом о персональных данных, в частности, положения отсылочного пункта 3 статьи 6, статьи 18, статьи 18.1 и статьи 19 указанного закона, с соблюдением конфиденциальности и обеспечением безопасности персональных данных при их обработке.
4.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.9. При обработке персональных данных принимать необходимые правовые, организационные и технические меры», в том числе меры, установленные статьей 18.1 Закона о персональных данных или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций:
4.10.1. В течение 24 (двадцати четырех) часов подать уведомление, содержащее информацию:
- о произошедшем инциденте;
- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
- предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий соответствующего инцидента;
- сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
4.10.2. В течение 72 (семидесяти двух) часов: подать уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.11. В случае установления факта компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, Оператор обязан в течение 24-х часов с момента обнаружения компьютерного инцидента уведомить Федеральную службу безопасности Российской Федерации через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. В уведомлении необходимо указать следующую информацию:
- дату, время, место происшествия;
- наличие связи между инцидентом и компьютерной атакой;
- связь с другими происшествиями (при наличии);
- технические параметры компьютерного инцидента;
- последствия компьютерного инцидента.
4.12. Администрация Платформы, не исполнившая свои обязательства, несет ответственность за доказанные убытки (в виде реального ущерба, при наличии прямо-установленной вины), понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п. 4.13. настоящей Политики Конфиденциальности.
4.13. В случае утраты или разглашения Конфиденциальной информации Администрация Платформы не несет ответственность, если данная конфиденциальная информация:
- стала публичным достоянием до ее утраты или разглашения;
- была получена от третьей стороны до момента ее получения Администрацией Платформы;
- была разглашена с согласия Пользователя.
4.14. Оператор не несет ответственность за нецелевое использование Персональных данных пользователей Сервиса, если указанное использование произошло вследствие:
- предоставления Пользователем Сервиса паролей или иной информации о Сервисе третьим лицам, не являющимся зарегистрированными пользователями Сервиса, или иным пользователям, которые в связи с отсутствием регистрации в Сервисе или по иным причинам не имеют доступа к такой информации;
- нарушения информационной безопасности Сервиса по вине Пользователя Сервиса;
- перебоев в работе Сервиса, если такие перебои произошли по причине использования Пользователем Сервиса не по назначению;
- технических неисправностей в программном обеспечении, компьютерных сетях и серверах, произошедших не по вине Оператора и не контролируемых им.
4.15. Субъект персональных данных вправе отозвать свое согласие в любой момент, направив соответствующее уведомление на адрес электронной почты: info@hrbox.io.
4.16. Оператор, согласно статье 21 Закона о персональных данных, обязуется прекратить обработку ПДн и/или обеспечить ее прекращение (в случае привлечения к обработке ПДн третьего лица) и уничтожить ПДн или обеспечить их уничтожение (в случае привлечения к обработке ПДн третьего лица) в срок, не превышающий 30 (тридцать) календарных дней, а по требованию субъекта ПДн в течение 10 (десяти) рабочих дней или в сроки, установленные в уведомлении Общества, при наступлении одного из следующих событий:
- прекращение срока действия права доступа к Сервису;
- получение Оператором от Пользователя Сервиса уведомления о необходимости прекращения обработки ПДн;
- достижение Оператором заявленных Пользователем Сервиса целей обработки ПДн или утраты необходимости в достижении такой цели.
4.17. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
4.18. Администрация Сервиса не проверяет достоверность персональных данных, предоставляемых Субъектом персональных данных. Субъект персональных данных гарантирует достоверность передаваемых им ПДн.
5. Разрешение споров и применимое право
5.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем Сервиса и Администрацией Сервиса, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
5.2. Получатель претензии в течение 14 (четырнадцати) календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
5.3. При недостижении соглашения спор будет передан на рассмотрение в суд в порядке, установленном действующим законодательством Российской Федерации.
5.4. К настоящей Политике и отношениям между Пользователем и Администрацией Сервиса применяется действующее законодательство Российской Федерации.
6. Заключительные положения
6.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства Российской Федерации.
6.2. Настоящая Политика обработки и конфиденциальности персональных данных применяется только к Сервису HRBOX. Сервис не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сервисе.
6.3. Все предложения или вопросы по настоящей Политике обработки и конфиденциальности персональных данных следует сообщать по электронной почте info@hrbox.io. Запросы, относящиеся к персональным данным, обрабатываемым по поручению клиента-оператора, просим направлять непосредственно соответствующему клиенту; при ошибочном направлении в адрес Общества запрос будет переадресован клиенту-оператору.
6.4. Администрация Сервиса имеет право в одностороннем порядке вносить изменения в настоящую Политику. При внесении изменений в Политике указывается дата последнего обновления редакции. Новая Политика обработки ПДн вступает в силу с момента ее размещения на Сервисе.
6.5. Настоящая Политика распространяется на отношения в области обработки и конфиденциальности персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
6.6. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора: https://hrbox.io/.
7. Обработка персональных данных посетителей сайта
7.1. Оператор обрабатывает персональные данные физических лиц — посетителей сайта https://www.hrbox.io (далее – Посетители), которые самостоятельно заполняют формы на сайте, включая форму запроса бесплатной консультации.
7.2. В рамках указанных форм могут обрабатываться следующие категории персональных данных:
- фамилия, имя, отчество;
- номер телефона;
- адрес электронной почты;
- наименование компании (при наличии);
- иные сведения, указанные добровольно в текстовых полях формы.
7.3. Целями обработки указанных данных являются:
- предоставление информации по продуктам и услугам Оператора;
- обратная связь с Посетителем;
- осуществление консультаций и предложение решений, включая маркетинговые и коммерческие предложения, рекламные рассылки по указанным контактам;
- ведение клиентской базы.
7.4. Основанием для обработки персональных данных Посетителей является их добровольное согласие, выраженное путем проставления отметки (чекбокса) под формой на сайте, а также иные положения законодательства Российской Федерации, допускающие обработку данных без согласия.
7.5. Срок хранения персональных данных Посетителей составляет 3 (три) года с момента получения данных или до момента отзыва согласия, если он поступит ранее.
7.6. Персональные данные могут быть переданы третьим лицам, осуществляющим техническую поддержку сайта, обработку заявок и хранение информации, исключительно в рамках заключенных договоров и в целях, указанных в настоящем разделе.
7.7. Посетитель вправе отозвать свое согласие в любой момент, направив соответствующее уведомление на адрес электронной почты: info@hrbox.io. Обработка персональных данных прекращается, и данные подлежат удалению в течение 10 рабочих дней с момента получения отзыва.
Предыдущие редакции настоящей Политики предоставляются по запросу.