OCULUS

Legal

Политика обработки персональных данных

Публичный документ ООО «ОРДИКС» о порядке обработки и защиты персональных данных в программном комплексе «Окулус».

Действующая редакция от 03.05.2026

По вопросам обработки данных — oculus@ordiks.ru

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана Общество с ограниченной ответственностью «ОРДИКС» (далее — «Оператор») в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») с учётом Рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных (опубликованы 31.07.2017).

1.2. Политика определяет порядок обработки и обеспечения безопасности персональных данных физических лиц, обрабатываемых Оператором при предоставлении доступа к программному комплексу «Окулус» (далее — «ПК "Окулус"») и сопутствующих сервисов.

1.3. Настоящая Политика является публичным документом и подлежит размещению в неограниченном доступе на сайте Оператора, в личном кабинете пользователя ПК «Окулус» и в иных официальных информационных каналах Оператора. Действующая редакция Политики доступна по адресу https://ordiks.ru/legal/privacy.

1.4. Политика является локальным нормативным актом Оператора и обязательна для исполнения всеми работниками Оператора, имеющими доступ к персональным данным субъектов, а также лицами, которым Оператор поручил обработку персональных данных в соответствии с частью 3 статьи 6 152-ФЗ.

1.5. Политика подлежит пересмотру по мере изменения порядка обработки персональных данных, требований законодательства Российской Федерации, а также не реже одного раза в год.

1.6. Основные права субъекта персональных данных, которые реализуются в рамках настоящей Политики, перечислены в разделе 17. Порядок направления запросов и сроки ответа — в разделе 18. Форма заявления субъекта приведена в Приложении № 2 к настоящей Политике.

1.7. Оператор обязан: обрабатывать персональные данные законными и справедливыми способами; ограничивать обработку заявленными целями; обеспечивать точность, достаточность и актуальность персональных данных; применять меры по защите персональных данных; соблюдать права субъектов; уведомить Роскомнадзор о намерении осуществлять обработку персональных данных в соответствии со статьёй 22 152-ФЗ; уведомлять Роскомнадзор об инцидентах в порядке, предусмотренном законодательством Российской Федерации; проводить оценку вреда, который может быть причинён субъектам вследствие нарушения требований 152-ФЗ, в соответствии с пунктом 5 части 2 статьи 18.1 152-ФЗ; документировать факты уничтожения персональных данных в соответствии с частью 3.1 статьи 21 152-ФЗ.

2. Термины и определения

В настоящей Политике используются термины и определения, установленные статьёй 3 152-ФЗ. Для удобства чтения ниже приведены ключевые понятия в применении к деятельности Оператора:

  • Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
  • Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение.
  • Оператор — Общество с ограниченной ответственностью «ОРДИКС», организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
  • Субъект — физическое лицо, чьи персональные данные обрабатываются Оператором; в рамках настоящей Политики — преимущественно пользователь личного кабинета ПК «Окулус».
  • Работодатель-клиент (далее — «работодатель-клиент») — юридическое лицо или индивидуальный предприниматель, заключившее с Оператором лицензионный или иной договор о предоставлении доступа к ПК «Окулус» для своих работников.
  • Личный кабинет — персонализированный раздел ПК «Окулус», доступный субъекту после успешной аутентификации.
  • Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. ПК «Окулус» является ИСПДн Оператора.
  • Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
  • Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
  • Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
  • Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

3. Принципы обработки персональных данных

В соответствии со статьёй 5 152-ФЗ Оператор соблюдает следующие принципы обработки персональных данных:

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям.

3.5. При обработке персональных данных Оператор обеспечивает их точность, достаточность, а в необходимых случаях — актуальность по отношению к целям обработки. Оператор принимает или обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.

3.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной, выгодоприобретателем или поручителем по которому является субъект. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию.

3.7. Обработка персональных данных осуществляется с соблюдением требований к локализации, установленных частью 5 статьи 18 152-ФЗ: запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации производятся с использованием баз данных, находящихся на территории Российской Федерации.

4. Цели обработки и правовые основания

4.1. Оператор обрабатывает персональные данные субъектов в следующих целях с указанием правовых оснований обработки:

Цель обработкиПравовое основание
4.1.1Предоставление субъекту доступа к функциям личного кабинета ПК «Окулус»Согласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ); исполнение договора между Оператором и работодателем-клиентом (п. 5 ч. 1 ст. 6 152-ФЗ)
4.1.2Аутентификация и авторизация субъекта при использовании личного кабинетаСогласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ); законные интересы Оператора по обеспечению защиты информации (п. 7 ч. 1 ст. 6 152-ФЗ)
4.1.3Обеспечение информационной безопасности и предотвращение несанкционированного доступа к ПК «Окулус»Законные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ); исполнение требований законодательства о защите информации (п. 2 ч. 1 ст. 6 152-ФЗ)
4.1.4Отображение производственных задач, уведомлений и иных сведений, относящихся к роли субъектаСогласие субъекта (п. 1 ч. 1 ст. 6 152-ФЗ); исполнение договора между Оператором и работодателем-клиентом (п. 5 ч. 1 ст. 6 152-ФЗ)
4.1.5Ведение журнала действий пользователя в целях аудита, расследования инцидентов информационной безопасности и подтверждения юридически значимых действийЗаконные интересы Оператора (п. 7 ч. 1 ст. 6 152-ФЗ); требования приказов ФСТЭК России № 17, № 21
4.1.6Хранение истории согласий пользователя на обработку персональных данныхИсполнение требований 152-ФЗ (п. 2 ч. 1 ст. 6 152-ФЗ); законные интересы Оператора по подтверждению правомерности обработки
4.1.7Реагирование на обращения субъектов о реализации их прав, предусмотренных главой 3 152-ФЗИсполнение требований 152-ФЗ (п. 2 ч. 1 ст. 6 152-ФЗ)
4.1.8Уведомление уполномоченных органов об инцидентах, повлёкших неправомерную или случайную передачу персональных данныхИсполнение требований ч. 3.1 ст. 21 152-ФЗ

4.2. Обработка, осуществляемая в целях, указанных в пунктах 4.1.3, 4.1.5–4.1.8 настоящей Политики, продолжается независимо от отзыва субъектом согласия на обработку персональных данных в части обработки, основанной на согласии, поскольку правовым основанием такой обработки являются законные интересы Оператора либо исполнение требований законодательства Российской Федерации.

5. Категории субъектов и обрабатываемые персональные данные

5.1. Пользователи личного кабинета ПК «Окулус»

5.1.1. Категория субъектов: физические лица, являющиеся работниками работодателей-клиентов Оператора и получившие от работодателя-клиента доступ к личному кабинету ПК «Окулус».

5.1.2. Перечень обрабатываемых персональных данных:

  • идентификатор учётной записи и логин;
  • роль и права доступа в системе;
  • история входов в личный кабинет, включая дату, время и результат аутентификации;
  • сетевой адрес устройства, сведения о браузере и устройстве, идентификаторы устройств, технические идентификаторы уведомлений;
  • файлы куки и аналогичные технологии (детальный перечень — раздел 16 настоящей Политики);
  • пользовательские настройки уведомлений и интерфейса;
  • сведения о действиях пользователя в системе (журнал аудита);
  • версия принятой политики обработки персональных данных, контрольная сумма текста политики, временная метка подтверждения согласия по всемирному координированному времени, сетевой адрес устройства и сведения о браузере и устройстве в момент подтверждения.

5.2. Работники работодателей-клиентов как субъекты, чьи кадровые данные обрабатываются работодателем

5.2.1. Кадровые данные субъекта (фамилия, имя, отчество, должность, табельный номер, контактные данные, сведения о выработке и начислениях, иные сведения, необходимые для исполнения трудового договора) обрабатываются работодателем-клиентом Оператора на основании трудового договора в соответствии с пунктом 5 части 1 статьи 6 152-ФЗ.

5.2.2. В отношении кадровых данных субъекта работодатель-клиент выступает самостоятельным оператором персональных данных и несёт самостоятельную ответственность за их обработку. Оператор в отношении указанных данных выступает в качестве лица, осуществляющего обработку по поручению работодателя-клиента, в соответствии с договор-поручение обработки персональных данных.

5.3. Категории персональных данных, не обрабатываемые Оператором

5.3.1. Оператор не обрабатывает следующие категории персональных данных:

  • специальные категории персональных данных, перечисленные в части 1 статьи 10 152-ФЗ (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, сведения о судимости);
  • биометрические персональные данные в смысле статьи 11 152-ФЗ;
  • персональные данные несовершеннолетних, не достигших возраста 18 лет;
  • персональные данные, полученные из общедоступных источников, кроме случаев, когда такие данные сообщены самим субъектом при использовании личного кабинета.

5.3.2. В случае если в результате эксплуатации ПК «Окулус» в систему случайно попадут персональные данные категорий, указанных в пункте 5.3.1, такие данные подлежат немедленному уничтожению с регистрацией факта в журнале инцидентов.

6. Источники получения персональных данных

6.1. Оператор получает персональные данные субъекта из следующих источников:

  • от работодателя-клиента субъекта при создании учётной записи в ПК «Окулус» (логин, роль, привязка к организационной структуре);
  • непосредственно от субъекта при использовании им личного кабинета (пользовательские настройки, изменения профиля, действия в системе);
  • автоматически от программных и технических средств субъекта при взаимодействии с ПК «Окулус» (сетевой адрес устройства, сведения о браузере и устройстве, технические идентификаторы уведомлений, файлы куки, метаданные сессии);
  • от программных средств обеспечения безопасности при регистрации событий аутентификации, авторизации и аудита.

6.2. Оператор не получает персональные данные субъекта из источников, не указанных в пункте 6.1, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

7. Способы и действия с персональными данными

7.1. Обработка персональных данных Оператором осуществляется смешанным способом: с использованием средств автоматизации (программные и аппаратные средства ПК «Окулус», серверы баз данных, средства виртуализации и резервного копирования) и без использования средств автоматизации (бумажные носители кадровых документов, договоров, журналов инструктажа, обращений субъектов).

7.2. Оператор осуществляет следующие действия с персональными данными субъекта: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

7.3. Передача персональных данных в форме распространения (раскрытие неопределённому кругу лиц) Оператором не осуществляется.

8. Сроки обработки и хранения персональных данных

8.1. Оператор обрабатывает и хранит персональные данные субъекта в сроки, установленные законодательством Российской Федерации, договорами с работодателями-клиентами и внутренними нормативными актами Оператора. Сводная информация о сроках:

Категория данныхСрок храненияПравовое основание
Учётные записи и связанные с ними данныеВ течение срока действия трудовых отношений субъекта с работодателем-клиентом + 3 года после их прекращенияЧасть 4 статьи 5 152-ФЗ; внутренние нормативные акты Оператора
Журналы безопасности, аудита и регистрации событий3 года с момента создания записиПриказ ФСТЭК России № 17, № 21; постановление Правительства РФ № 1119
Записи о согласиях субъектов (включая контрольные суммы документов, сетевые адреса устройств, сведения о браузере и устройстве, метки времени)5 лет с момента создания или отзыва согласияЧасть 5 статьи 21 152-ФЗ; внутренние нормативные акты Оператора
Резервные копии данныхНе более 90 дней с момента созданияВнутренний регламент резервного копирования
Обращения субъектов и материалы их рассмотрения5 лет с момента ответа на обращениеВнутренние нормативные акты Оператора
Документы по результатам расследования инцидентов5 лет с момента закрытия инцидентаЧасть 3.1 статьи 21 152-ФЗ

8.2. По истечении установленных сроков либо при достижении целей обработки персональные данные подлежат уничтожению или обезличиванию в порядке, установленном внутренним регламентом Оператора. Факт уничтожения или обезличивания фиксируется в соответствующем акте.

9. Локализация и трансграничная передача персональных данных

9.1. В соответствии с частью 5 статьи 18 152-ФЗ запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации производятся с использованием баз данных, находящихся на территории Российской Федерации. Серверы Оператора, используемые для обработки персональных данных, физически размещаются в центре обработки данных на территории Российской Федерации.

9.2. Первичная запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных осуществляется в базах данных, размещённых на территории Российской Федерации. Трансграничная передача допускается только в случаях, прямо указанных в настоящем разделе и оформленных в порядке, предусмотренном 152-ФЗ.

9.3. В случае возникновения необходимости трансграничной передачи персональных данных Оператор обязуется до начала такой передачи направить в Роскомнадзор уведомление в порядке, установленном частью 3 статьи 12 152-ФЗ, и не приступать к передаче до получения заключения уполномоченного органа в установленных законом случаях.

9.4. Для доставки браузерных и мобильных автоматических уведомлений ПК «Окулус» может использовать инфраструктуру браузера и платформенные сервисы доставки уведомлений. Подписка на такие уведомления выполняется по инициативе пользователя через настройки браузера или приложения и может быть отключена пользователем. Текст уведомления не содержит персональных данных, производственных идентификаторов, сведений о заданиях, сменах, оплате труда или иных данных субъекта: уведомление содержит только общий факт события, в том числе формулировку «Откройте ПК «Окулус» для просмотра деталей». Детали события отображаются только после аутентифицированного входа в ПК «Окулус». Если использование такой инфраструктуры требует уведомления Роскомнадзора о трансграничной передаче, Оператор оформляет соответствующее уведомление до начала передачи.

10. Лица, имеющие доступ к персональным данным

10.1. Доступ к персональным данным, обрабатываемым Оператором, имеют:

  • работники Оператора, должностные обязанности которых связаны с обработкой персональных данных и которые включены в утверждённый Оператором перечень лиц, допущенных к обработке персональных данных;
  • работники Оператора, осуществляющие сопровождение и обеспечение безопасности ПК «Окулус» (системные администраторы, администраторы баз данных, специалисты по информационной безопасности);
  • сам субъект персональных данных в отношении его собственных персональных данных через интерфейс личного кабинета.

10.2. Каждый работник Оператора, имеющий доступ к персональным данным, ознакомлен под подпись с положениями 152-ФЗ, локальными нормативными актами Оператора по вопросам обработки и защиты персональных данных и принимает обязательства о неразглашении.

10.3. Перечень лиц, имеющих доступ к персональным данным, утверждается приказом Оператора и подлежит пересмотру не реже одного раза в год, а также при изменении штатного расписания Оператора.

11. Передача персональных данных третьим лицам и поручение обработки

11.1. Оператор передаёт персональные данные субъекта третьим лицам только в следующих случаях:

  • по поручению работодателя-клиента в части кадровых данных, обрабатываемых работодателем-клиентом как самостоятельным оператором (раздел 5.2 настоящей Политики);
  • по требованию уполномоченных государственных органов в порядке и объёме, установленных законодательством Российской Федерации;
  • лицам, привлечённым Оператором для обработки персональных данных по поручению Оператора, в порядке части 3 статьи 6 152-ФЗ.

11.2. Перечень лиц, осуществляющих обработку персональных данных по поручению Оператора, на момент публикации настоящей Политики приведён в Приложении № 1 к настоящей Политике. Изменения в данный перечень вносятся путём публикации новой редакции Политики.

11.3. При поручении обработки персональных данных Оператор обязывает привлекаемое лицо соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с требованиями статьи 19 152-ФЗ. С каждым таким лицом Оператор заключает договор (соглашение) о поручении обработки персональных данных, содержащий перечень действий с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность, требования к защите.

12. Конфиденциальность персональных данных

12.1. В соответствии со статьёй 7 152-ФЗ Оператор и иные лица, получившие доступ к персональным данным субъекта, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом.

12.2. Обязательство соблюдения конфиденциальности персональных данных распространяется на работников Оператора, лиц, осуществляющих обработку по поручению Оператора, и иных лиц, получивших правомерный доступ к персональным данным субъекта.

12.3. Обязательство соблюдения конфиденциальности персональных данных сохраняется бессрочно, в том числе после прекращения трудовых, гражданско-правовых или иных отношений между Оператором и работником (контрагентом).

13. Меры обеспечения безопасности персональных данных

13.1. В соответствии со статьями 18.1 и 19 152-ФЗ Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

13.2. Организационные меры, принимаемые Оператором, включают:

  • назначение лица, ответственного за организацию обработки персональных данных, в соответствии со статьёй 22.1 152-ФЗ (раздел 18 настоящей Политики);
  • издание локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных, в том числе настоящей Политики и Положения об обеспечении безопасности персональных данных;
  • утверждение перечня лиц, допущенных к обработке персональных данных, и определение их полномочий;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями 152-ФЗ, нормативными правовыми актами по вопросам обработки персональных данных и локальными нормативными актами Оператора;
  • проведение внутреннего аудита соответствия обработки персональных данных требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, а также внутренним нормативным актам Оператора;
  • определение угроз безопасности персональных данных при их обработке в ИСПДн (модель угроз);
  • установление режима конфиденциальности персональных данных;
  • определение порядка доступа в помещения, в которых ведётся обработка персональных данных;
  • учёт машинных носителей персональных данных.

13.3. Технические меры защиты персональных данных, применяемые Оператором, соответствуют требованиям, установленным постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России от 18 февраля 2013 года № 21, и включают, в частности:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа на основе ролевой модели и механизма разграничения доступа на уровне строк;
  • регистрацию событий безопасности и анализ зарегистрированных событий;
  • защиту среды виртуализации, сетевой инфраструктуры, операционной системы;
  • защиту технических средств от внешних воздействий;
  • обнаружение и предотвращение вторжений;
  • контроль (анализ) защищённости персональных данных;
  • защиту канала передачи данных средствами криптографической защиты информации;
  • обеспечение целостности информационной системы и персональных данных;
  • резервное копирование персональных данных и восстановление работоспособности информационной системы.

13.4. Для информационной системы персональных данных «Окулус» в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» установлен третий уровень защищённости персональных данных (УЗ-3). Перечень и состав конкретных средств защиты информации, применяемых Оператором для обеспечения УЗ-3, определяются актом классификации (категорирования) ИСПДн, Положением об обеспечении безопасности персональных данных и иными внутренними документами Оператора и не подлежат публичному раскрытию в соответствии с требованиями информационной безопасности.

13.5. Оператор обеспечивает оценку эффективности принимаемых мер защиты персональных данных не реже одного раза в три года.

14. Реагирование на инциденты информационной безопасности

14.1. Под инцидентом, повлёкшим неправомерную или случайную передачу персональных данных, понимается событие, в результате которого нарушены права субъектов персональных данных в смысле части 3.1 статьи 21 152-ФЗ.

14.2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор:

  • в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлёкших нарушение прав субъектов, и предполагаемом вреде, нанесённом правам субъектов, о принятых мерах по устранению последствий, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором;
  • в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали причиной инцидента (при наличии).

14.3. Оператор обеспечивает взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, установленном законодательством Российской Федерации.

14.4. Оператор обеспечивает регистрацию инцидентов и хранение материалов их расследования в течение пяти лет.

14.5. Если в результате инцидента возникла угроза причинения вреда правам субъекта персональных данных, Оператор уведомляет субъекта об инциденте в разумный срок и информирует о принятых мерах. Способ уведомления выбирается Оператором с учётом обеспечения достоверности информирования и защиты от мошеннических действий третьих лиц.

15. Автоматизированное принятие решений

15.1. В соответствии со статьёй 16 152-ФЗ Оператор информирует субъекта о следующем:

15.1.1. В рамках ПК «Окулус» Оператор может применять автоматизированные процедуры принятия решений, влияющих на права и интересы субъекта, в следующих случаях:

  • автоматическая блокировка учётной записи субъекта при обнаружении признаков несанкционированного доступа, в том числе при многократном вводе неверных учётных данных, входе с подозрительных устройств, аномальной активности;
  • автоматическое прекращение сессии и блокировка доступа в случае отзыва субъектом согласия на обработку персональных данных в части использования личного кабинета;
  • автоматический перевод записей в архивный режим по истечении сроков, установленных разделом 8 настоящей Политики.

15.1.2. Указанные автоматизированные процедуры применяются исключительно в целях обеспечения информационной безопасности и исполнения обязательных требований законодательства Российской Федерации. При применении указанных процедур субъект вправе направить возражение в порядке, установленном пунктом 15.1.3 настоящей Политики, а Оператор обязан рассмотреть его и предоставить мотивированный ответ в установленный срок.

15.1.3. Субъект вправе заявить возражение против решения, принятого на основании исключительно автоматизированной обработки, путём направления обращения по контактам, указанным в разделе 18 настоящей Политики. Оператор обязуется рассмотреть обращение и предоставить мотивированный ответ в срок, установленный частью 1 статьи 20 152-ФЗ.

16. Файлы куки и аналогичные технологии

16.1. ПК «Окулус» использует файлы куки и аналогичные технологии (локальное хранилище браузера, хранилище браузерной базы данных, технические идентификаторы уведомлений) для обеспечения работы личного кабинета и улучшения пользовательского опыта. Категории используемых файлов куки:

КатегорияНазначениеСрок храненияТребуется согласие
Строго необходимыеАутентификация (сессионный токен), защита от межсайтовой подделки запроса, сохранение языка интерфейсаДо завершения сессии или до 30 днейНе требуется (необходимы для функционирования сервиса)
ФункциональныеСохранение пользовательских настроек интерфейса (тема, плотность таблиц, сохранённые фильтры, выбранный язык)До 12 месяцевНе требуется (необходимы для качественного исполнения договора о предоставлении доступа к ПК «Окулус»; п. 5 ч. 1 ст. 6 152-ФЗ)
АналитическиеОбезличенный сбор сведений об использовании ПК «Окулус» с целью улучшения сервисаДо 12 месяцевОтдельное согласие, выражаемое субъектом через баннер управления файлами куки ПК «Окулус». По умолчанию выключены

16.2. Субъект вправе в любой момент управлять файлами куки через настройки браузера, отключать аналитические файлы куки через баннер управления файлами куки ПК «Окулус», а также удалять ранее сохранённые файлы куки. Отключение строго необходимых файлов куки может повлечь невозможность использования личного кабинета.

16.3. Использование строго необходимых и функциональных файлов куки осуществляется на основании пункта 5 части 1 статьи 6 152-ФЗ (исполнение договора о предоставлении доступа к ПК «Окулус») и не требует отдельного согласия субъекта, поскольку указанные файлы куки необходимы для предоставления услуги надлежащего качества. Использование аналитических файлов куки осуществляется исключительно на основании пункта 1 части 1 статьи 6 152-ФЗ — отдельного, явно выраженного согласия субъекта, предоставляемого через баннер управления файлами куки ПК «Окулус». По умолчанию аналитические файлы куки выключены до момента проставления субъектом активной отметки в баннере управления файлами куки. Согласие на использование аналитических файлов куки может быть отозвано в любой момент через настройки файлов куки в личном кабинете либо через настройки браузера.

17. Права субъекта персональных данных

17.1. В соответствии со статьями 14–17, 20–21 152-ФЗ субъект имеет право:

17.1.1. Получить от Оператора подтверждение факта обработки персональных данных Оператором.

17.1.2. Получить сведения, относящиеся к обработке персональных данных, включая:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
  • информацию об осуществлённой или о предполагаемой трансграничной передаче персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена такому лицу;
  • информацию о способах исполнения Оператором обязанностей, установленных статьёй 18.1 152-ФЗ;
  • иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.

17.1.3. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

17.1.4. Отозвать согласие на обработку персональных данных в порядке, установленном разделом 19 настоящей Политики.

17.1.5. Заявить возражение против решения, принятого Оператором на основании исключительно автоматизированной обработки персональных данных (раздел 15 настоящей Политики).

17.1.6. Обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке.

17.1.7. Защищать свои права и законные интересы, в том числе требовать возмещения убытков и/или компенсации морального вреда в судебном порядке.

18. Порядок реализации прав субъекта

18.1. Запросы субъекта о реализации прав, перечисленных в разделе 17 настоящей Политики, направляются:

  • на адрес электронной почты Оператора oculus@ordiks.ru;
  • почтовым отправлением по адресу: Московская область, городской округ Подольск, город Подольск, улица Бронницкая, д. 11 стр. 14, оф. 31;
  • через раздел «Профиль» в личном кабинете ПК «Окулус» (для запросов, технически реализуемых через интерфейс системы).

18.2. Запрос субъекта должен содержать:

  • сведения, подтверждающие участие субъекта в отношениях с Оператором (логин в ПК «Окулус», наименование работодателя-клиента) либо иные сведения, позволяющие идентифицировать субъекта;
  • фамилию, имя, отчество субъекта, реквизиты документа, удостоверяющего личность субъекта, либо реквизиты иного документа, подтверждающего полномочия представителя субъекта;
  • содержание запроса (требование о предоставлении сведений, об уточнении/блокировании/уничтожении данных, об отзыве согласия и т. п.);
  • подпись субъекта или его представителя (для бумажных обращений) либо иной способ подтверждения подлинности обращения.

18.3. При получении запроса Оператор устанавливает личность субъекта (либо полномочия его представителя) и осуществляет действия, необходимые для рассмотрения запроса. В случае невозможности установить личность субъекта Оператор отказывает в рассмотрении обращения с указанием причины отказа.

18.4. Срок ответа на запрос субъекта составляет десять рабочих дней с момента его получения в соответствии с частью 1 статьи 20 152-ФЗ. По мотивированному решению Оператора срок ответа может быть продлён, но не более чем на пять рабочих дней, с уведомлением субъекта о таком продлении.

18.5. Оператор обязан в течение десяти рабочих дней с момента поступления требования субъекта о прекращении обработки персональных данных, обрабатываемых в нарушение требований 152-ФЗ, прекратить такую обработку либо обеспечить её прекращение лицом, осуществляющим обработку по поручению Оператора. В случае невозможности прекращения обработки в указанный срок Оператор уведомляет субъекта об этом с указанием причин.

18.6. Оператор вправе отказать субъекту в выполнении запроса в случаях, прямо предусмотренных частью 8 статьи 14 и частью 5 статьи 21 152-ФЗ, с предоставлением субъекту мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 либо части 5 статьи 21 152-ФЗ, послужившее основанием для отказа.

19. Согласие субъекта и порядок его отзыва

19.1. Согласие субъекта на обработку персональных данных, обрабатываемых на основании пункта 1 части 1 статьи 6 152-ФЗ, выражается в форме подтверждения отдельного документа «Согласие на обработку персональных данных в личном кабинете программного комплекса "Окулус"» при первом входе в личный кабинет, а также при каждом существенном изменении настоящей Политики.

19.2. Согласие фиксируется в форме, эквивалентной собственноручной подписи (пункт 1 части 4 статьи 9 152-ФЗ), путём совершения субъектом активного действия в интерфейсе личного кабинета и автоматической записи Оператором следующих сведений:

  • учётный идентификатор субъекта;
  • сетевой адрес устройства субъекта в момент подтверждения;
  • сведения о браузере и устройстве субъекта;
  • дата и время подтверждения по всемирному координированному времени;
  • версия принятого согласия и контрольная сумма текста согласия;
  • версия принятой Политики и контрольная сумма текста Политики.

19.3. Согласие действует до момента его отзыва субъектом или до публикации новой активной версии текста согласия, при этом в случае публикации новой версии субъекту предоставляется возможность ознакомиться с её содержанием и подтвердить ознакомление повторно.

19.4. Субъект вправе в любой момент отозвать согласие на обработку персональных данных следующими способами:

  • через раздел «Профиль» в личном кабинете ПК «Окулус» (кнопка «Отозвать согласие на использование личного кабинета»);
  • путём направления письменного заявления на адрес электронной почты Оператора oculus@ordiks.ru;
  • путём направления письменного заявления почтой по адресу: Московская область, городской округ Подольск, город Подольск, улица Бронницкая, д. 11 стр. 14, оф. 31.

19.5. Оператор обязан прекратить обработку персональных данных, основанную исключительно на согласии субъекта, в течение тридцати дней с момента получения отзыва согласия. После прекращения обработки доступ субъекта к личному кабинету блокируется.

19.6. Несмотря на отзыв согласия, Оператор продолжает обработку персональных данных субъекта в части, основанной на иных правовых основаниях (раздел 4.2 настоящей Политики), в том числе:

  • ведение и хранение записи об отзыве согласия в журнале согласий — в течение пяти лет с момента отзыва;
  • хранение журналов безопасности и аудита, содержащих сведения о действиях субъекта, — в сроки, установленные разделом 8 настоящей Политики;
  • хранение материалов расследования инцидентов с участием субъекта (при наличии) — в сроки, установленные разделом 8 настоящей Политики;
  • использование персональных данных в обезличенной форме для статистических целей.

19.7. Кадровые данные субъекта, обрабатываемые работодателем-клиентом на основании трудового договора, сохраняются у работодателя-клиента независимо от отзыва согласия в части использования личного кабинета. Для удаления кадровых данных субъекту необходимо обратиться к администратору организации работодателя-клиента.

20. Лицо, ответственное за организацию обработки персональных данных

20.1. В соответствии со статьёй 22.1 152-ФЗ в ООО «ОРДИКС» назначено лицо, ответственное за организацию обработки персональных данных. Должность ответственного лица: Генеральный директор. Сведения о конкретном лице, занимающем данную должность, публикуются Оператором на официальном сайте https://ordiks.ru отдельно от настоящей Политики и могут обновляться без выпуска новой редакции Политики.

20.2. Ответственное лицо:

  • осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных нормативных актов Оператора по вопросам обработки персональных данных, требований к защите персональных данных;
  • организует приём и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приёмом и обработкой таких обращений и запросов.

20.3. Контактные данные для обращений к ответственному лицу:

  • адрес электронной почты: oculus@ordiks.ru;
  • почтовый адрес для направления обращений: Московская область, городской округ Подольск, город Подольск, улица Бронницкая, д. 11 стр. 14, оф. 31.

21. Сведения о регистрации в реестре операторов

21.1. Сведения о регистрации Оператора в реестре операторов, осуществляющих обработку персональных данных, ведущемся Роскомнадзором: Уведомление об обработке персональных данных подготовлено для подачи в Роскомнадзор; регистрационный номер будет указан после включения Оператора в реестр..

21.2. В случае изменения сведений, ранее представленных в Роскомнадзор в соответствии с частью 3 статьи 22 152-ФЗ, Оператор обязуется уведомить Роскомнадзор в установленном порядке в срок, не превышающий пятнадцати рабочих дней с даты изменения таких сведений.

22. Изменение и пересмотр Политики

22.1. Настоящая Политика может быть изменена Оператором в одностороннем порядке. Новая редакция Политики вступает в силу с момента её публикации на сайте Оператора по адресу, указанному в пункте 1.3 настоящей Политики, если иной срок вступления в силу не определён новой редакцией Политики.

22.2. При публикации новой редакции Политики Оператор обеспечивает доступ к предыдущим редакциям Политики в архивном разделе сайта в течение всего срока хранения соответствующих согласий субъектов.

22.3. В случае существенного изменения порядка обработки персональных данных, перечня обрабатываемых персональных данных, целей обработки или иных существенных условий Оператор уведомляет субъектов о новой редакции Политики через личный кабинет ПК «Окулус» и предлагает субъектам ознакомиться с её содержанием и подтвердить согласие в порядке, установленном разделом 19 настоящей Политики.

22.4. Несущественные изменения Политики (исправление опечаток, уточнение формулировок, не затрагивающих прав и обязанностей сторон) не требуют повторного получения согласия субъектов.

23. Реквизиты Оператора

  • Полное наименование: Общество с ограниченной ответственностью «ОРДИКС»
  • Сокращённое наименование: ООО «ОРДИКС»
  • ИНН: 5074097998
  • ОГРН: 1265000025564
  • КПП: 507401001
  • Юридический и почтовый адрес: Московская область, городской округ Подольск, город Подольск, улица Бронницкая, д. 11 стр. 14, оф. 31
  • Адрес электронной почты: oculus@ordiks.ru
  • Сайт: https://ordiks.ru

24. Заключительные положения

24.1. Во всём, что не урегулировано настоящей Политикой, Оператор и субъект руководствуются законодательством Российской Федерации, в первую очередь — 152-ФЗ.

24.2. Если какое-либо положение настоящей Политики признаётся недействительным в судебном или ином установленном порядке, остальные положения Политики сохраняют свою силу.

24.3. Настоящая Политика составлена на русском языке. В случае предоставления Политики на иных языках в случае противоречий преимущественную силу имеет русскоязычная редакция.

---

Приложение № 1. Перечень лиц, осуществляющих обработку персональных данных по поручению Оператора

На момент публикации настоящей Политики обработка персональных данных по поручению Оператора иным лицам не поручена.

В случае привлечения Оператором лиц для обработки персональных данных по поручению Оператора в соответствии с частью 3 статьи 6 152-ФЗ настоящее приложение подлежит обновлению с указанием:

  • наименования (фамилии, имени, отчества) лица, осуществляющего обработку по поручению;
  • адреса места нахождения лица, осуществляющего обработку по поручению;
  • перечня действий с персональными данными, поручаемых лицу;
  • целей обработки;
  • срока, в течение которого осуществляется обработка по поручению.

---

Приложение № 2. Типовая форма заявления субъекта персональных данных

Настоящая форма используется для реализации прав, перечисленных в разделе 17 настоящей Политики. Заявление направляется на адрес электронной почты oculus@ordiks.ru или почтовым отправлением по адресу Московская область, городской округ Подольск, город Подольск, улица Бронницкая, д. 11 стр. 14, оф. 31.

---

Заявление о реализации прав субъекта персональных данных

Кому: Общество с ограниченной ответственностью «ОРДИКС»

Сведения о заявителе (субъекте персональных данных):

ПолеЗначение
Фамилия, имя, отчество
Логин в ПК «Окулус»
Наименование работодателя-клиента
Адрес электронной почты для ответа
Контактный телефон (необязательно)

Реквизиты документа, удостоверяющего личность (для бумажных обращений):

Наименование документа: _________________________

Серия, номер: _________________ Дата выдачи: _________________ Кем выдан: _________________________

---

Содержание заявления (отметьте нужное и заполните соответствующий блок):

□ 1. Получение сведений об обработке персональных данных (ст. 14, 20 152-ФЗ)

Прошу предоставить сведения об обрабатываемых в отношении меня персональных данных: правовые основания и цели обработки, сроки хранения, перечень лиц, имеющих доступ, источники получения и иные сведения, предусмотренные ч. 1 ст. 20 152-ФЗ.

---

□ 2. Уточнение (исправление) персональных данных (ст. 21 152-ФЗ)

Прошу уточнить (исправить) следующие персональные данные:

Какие данные содержат ошибкуВерное значение

---

□ 3. Блокирование персональных данных (ст. 21 152-ФЗ)

Прошу заблокировать обработку следующих персональных данных: _________________________

Основание: ______________________________________________

---

□ 4. Уничтожение (удаление) персональных данных (ст. 21 152-ФЗ)

Прошу уничтожить (удалить) следующие персональные данные: _________________________

Основание: ______________________________________________

---

□ 5. Отзыв согласия на обработку персональных данных (ст. 9 152-ФЗ)

Настоящим отзываю ранее данное мной согласие на обработку персональных данных в личном кабинете ПК «Окулус» в полном объёме.

Я уведомлён(а) о том, что отзыв согласия не затрагивает законность обработки персональных данных, осуществлявшейся до его отзыва, а также обработки, основанной на иных правовых основаниях (раздел 4.2 Политики).

Я уведомлён(а) о том, что после прекращения обработки (в течение 30 дней с момента получения настоящего заявления Оператором) доступ к личному кабинету ПК «Окулус» будет заблокирован.

Я уведомлён(а) о том, что кадровые и иные персональные данные, обрабатываемые моим работодателем-клиентом Оператора как самостоятельным оператором персональных данных в рамках трудовых отношений (глава 14 Трудового кодекса Российской Федерации), отзыву настоящим заявлением не подлежат и продолжают обрабатываться работодателем-клиентом на основаниях, не зависящих от согласия (пункты 5.2.2 и 19.7 Политики). Для реализации прав в отношении указанных данных необходимо обращаться непосредственно к работодателю-клиенту как к самостоятельному оператору.

---

□ 6. Возражение против автоматизированного принятия решений (ст. 16 152-ФЗ)

Прошу предоставить мотивированный ответ по следующему решению, принятому на основании автоматизированной обработки: _________________________

---

Дата составления заявления: ____________________

Подпись заявителя (для бумажных обращений): ____________________

---

*Срок рассмотрения заявления — 10 рабочих дней с момента получения (ч. 1 ст. 20 152-ФЗ). Оператор вправе запросить дополнительные документы, подтверждающие личность заявителя, если идентификация невозможна на основании представленных сведений.*

Содержание (26)
  1. 1. Общие положения
  2. 2. Термины и определения
  3. 3. Принципы обработки персональных данных
  4. 4. Цели обработки и правовые основания
  5. 5. Категории субъектов и обрабатываемые персональные данные
  6. 6. Источники получения персональных данных
  7. 7. Способы и действия с персональными данными
  8. 8. Сроки обработки и хранения персональных данных
  9. 9. Локализация и трансграничная передача персональных данных
  10. 10. Лица, имеющие доступ к персональным данным
  11. 11. Передача персональных данных третьим лицам и поручение обработки
  12. 12. Конфиденциальность персональных данных
  13. 13. Меры обеспечения безопасности персональных данных
  14. 14. Реагирование на инциденты информационной безопасности
  15. 15. Автоматизированное принятие решений
  16. 16. Файлы куки и аналогичные технологии
  17. 17. Права субъекта персональных данных
  18. 18. Порядок реализации прав субъекта
  19. 19. Согласие субъекта и порядок его отзыва
  20. 20. Лицо, ответственное за организацию обработки персональных данных
  21. 21. Сведения о регистрации в реестре операторов
  22. 22. Изменение и пересмотр Политики
  23. 23. Реквизиты Оператора
  24. 24. Заключительные положения
  25. Приложение № 1. Перечень лиц, осуществляющих обработку персональных данных по поручению Оператора
  26. Приложение № 2. Типовая форма заявления субъекта персональных данных