ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «Компания «ЭСКОРТ»
ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «Компания «ЭСКОРТ»
УТВЕРЖДЕНА приказом ООО «Компания «ЭСКОРТ»
от 05.09.2018 г. № 05-09/19
1. Общие положения.
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник). Настоящая Политика является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Действие настоящей Политики распространяется на персональные данные граждан, персональные данные которых обрабатываются Обществом.
Согласно положениям действующего законодательства под сбором персональных данных понимается целенаправленный процесс получения персональных данных Оператором непосредственно от Субъекта персональных данных либо через специально привлеченных для этого третьих лиц. В связи с чем, локализации подлежат только те персональные данные, которые были получены Оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных.
Случайное, ненамеренное получение, хранение и иные операции с персональными данными граждан не влекут обязанности локализовать обработку персональных данных в Обществе, в связи с чем, Общество не должно предпринимать каких-либо действий в отношении персональных данных, случайно к нему попавших. В частности локализация не требуется в случае:
(i) незапрашиваемого получения персональных данных, например, произвольной (случайной) входящей корреспонденции и электронных писем, (ii) получения персональных данных поступивших в Общество от других юридических лиц, если такие данные представляют собой контактную информацию работников или представителей таких юридических лиц, переданную в ходе осуществления ими своей законной деятельности.
1.3. Настоящая Политика является обязательным для исполнения всеми работниками Общества, работающих по трудовому договору, заключенному с Обществом, которые непосредственно осуществляют обработку или имеют доступ к персональным данным Субъектов, а также лицами, осуществляющими обработку или имеющими доступ к персональным данным Субъектов на основании заключенных с Обществом договоров, или на иных законных основаниях, в порядке и на условиях, предусмотренных настоящей Политикой (далее - Работники).
1.4. Цель разработки Политики — определение порядка обработки персональных данных Субъектов персональных данных; обеспечение защиты прав и свобод Субъектов персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. Настоящая Политика вступает в силу с момента её утверждения приказом Генерального директора Общества и действует бессрочно до момента отмены действия, либо замены новой Политикой. Оператор имеет право вносить изменения в настоящую Политику. Все изменения в Политику вносятся приказом Генерального директора. Новая редакция Политики в обязательном порядке размещается на сайте Общества (https://salt78.ru).
2. Термины и принятые сокращения.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является общество с ограниченной ответственностью «Белгородская Соляная Компания» (ООО «Компания «ЭСКОРТ», ИНН 3123111387), расположенное по адресу: 308009, Белгородская область, город Белгород, Михайловское шоссе, дом 2.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая информация;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Организационные мероприятия по защите персональных данных - меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Конфиденциальность персональных данных - обязательное для соблюдения Работником, получившего доступ к персональным данным, требование не допускать их распространения без согласия Субъекта персональных данных или иного законного основания.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
3. Обработка персональных данных.
3.1. Состав персональных данных. В состав персональных данных Субъектов могут входить следующие персональные данные:
3.1.1. Фамилия, имя, отчество;
3.1.2. Дата рождения;
3.1.3. Месторождения;
3.1.4. Паспортные данные:
• вид документа;
• серия и номер документа;
• орган, выдавший документ (наименование, код подразделения);
• дата выдачи документа.
3.1.5. Адрес регистрации места жительства;
3.1.6. Адрес фактического места жительства;
3.1.7. СНИЛС, ИНН;
3.1.8. Пол;
3.1.9. Номер контактного телефона;
3.1.10. Адрес электронной почты;
3.1.11. Сведения о близких родственниках:
• Фамилия, имя, отчество;
• Дата рождения;
• Место рождения;
• Адрес проживания;
• Место работы и должность;
• Контактные данные.
3.1.12. Сведения о трудовой деятельности;
3.1.13. Сведения об образовании;
3.1.14. Сведения об уровне доходов;
3.1.15. Сведения о семейное положении.
3.2. Субъектом персональных данных или его представителем могут быть переданы персональные данные Субъекта, отличные от приведенных в пп. 3.1.1-3.1.15. при условии соответствия их содержания и объема заявленным целям обработки.
3.3. Получение ПД.
3.3.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.
3.3.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.3.3. Документы, содержащие ПД, создаются путем:
– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
– внесения сведений в учетные формы;
– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.4. Обработка ПД.
3.4.1. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
3.4.2. Цели обработки персональных данных:
– осуществление трудовых отношений;
– осуществление гражданско-правовых отношений.
3.4.3. Категории субъектов персональных данных.
Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях.
3.4.4. ПД, обрабатываемые Оператором:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
3.4.5. Обработка персональных данных ведется:
– с использованием средств автоматизации;
– без использования средств автоматизации.
3.5. При обработке обеспечиваются точность ПД, их достаточность и актуальность по отношению к целям обработки ПД. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация. Для ПД, не являющихся общедоступными, обеспечивается конфиденциальность.
3.6. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
достижение целей обработки персональных данных или максимальных сроков хранения - в течение 30 дней;
утрата необходимости в достижении целей обработки персональных данных - в течение 30 дней;
предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные
данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;
невозможность обеспечения правомерности обработки персональных данных - в течение 10 дней;
отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных
более не требуется для целей обработки персональных данных - в течение 30 дней;
отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными
потребителями при продвижении товаров и услуг - в течение 2 дней;
истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
ликвидация (реорганизация) Оператора.
3.5. Хранение ПД.
3.5.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.5.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.5.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.5.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.5.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.6. Уничтожение ПД.
3.6.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.6.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.7. Передача ПД.
3.7.1. Оператор передает ПД третьим лицам в следующих случаях:
– субъект выразил свое согласие на такие действия;
– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.7.2. Перечень лиц, которым передаются ПД.
Третьи лица, которым передаются ПД:
– Пенсионный фонд РФ для учета (на законных основаниях);
– налоговые органы РФ (на законных основаниях);
– Фонд социального страхования РФ (на законных основаниях);
– территориальный фонд обязательного медицинского страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– банки для начисления заработной платы (на основании договора);
– органы МВД России в случаях, установленных законодательством;
- таможенные органы в случаях, установленных законодательством;
- контрагенты Общества (на основании заключенных договоров).
4. Защита персональных данных.
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
разработка политики в отношении обработки персональных данных;
издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана;
ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;
установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
резервное копирование информации для возможности восстановления;
осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
5. Основные права субъекта ПД и обязанности Оператора.
5.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
5.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4. Обязанности Оператора.
Оператор обязан:
– при сборе ПД предоставить информацию об обработке ПД;
– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
– при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
Иные права и обязанности Оператора определяются действующим законодательством.
6. Ответственность за нарушение норм, регулирующих обработку и безопасность персональных данных
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
от 05.09.2018 г. № 05-09/19
1. Общие положения.
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник). Настоящая Политика является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Действие настоящей Политики распространяется на персональные данные граждан, персональные данные которых обрабатываются Обществом.
Согласно положениям действующего законодательства под сбором персональных данных понимается целенаправленный процесс получения персональных данных Оператором непосредственно от Субъекта персональных данных либо через специально привлеченных для этого третьих лиц. В связи с чем, локализации подлежат только те персональные данные, которые были получены Оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных.
Случайное, ненамеренное получение, хранение и иные операции с персональными данными граждан не влекут обязанности локализовать обработку персональных данных в Обществе, в связи с чем, Общество не должно предпринимать каких-либо действий в отношении персональных данных, случайно к нему попавших. В частности локализация не требуется в случае:
(i) незапрашиваемого получения персональных данных, например, произвольной (случайной) входящей корреспонденции и электронных писем, (ii) получения персональных данных поступивших в Общество от других юридических лиц, если такие данные представляют собой контактную информацию работников или представителей таких юридических лиц, переданную в ходе осуществления ими своей законной деятельности.
1.3. Настоящая Политика является обязательным для исполнения всеми работниками Общества, работающих по трудовому договору, заключенному с Обществом, которые непосредственно осуществляют обработку или имеют доступ к персональным данным Субъектов, а также лицами, осуществляющими обработку или имеющими доступ к персональным данным Субъектов на основании заключенных с Обществом договоров, или на иных законных основаниях, в порядке и на условиях, предусмотренных настоящей Политикой (далее - Работники).
1.4. Цель разработки Политики — определение порядка обработки персональных данных Субъектов персональных данных; обеспечение защиты прав и свобод Субъектов персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. Настоящая Политика вступает в силу с момента её утверждения приказом Генерального директора Общества и действует бессрочно до момента отмены действия, либо замены новой Политикой. Оператор имеет право вносить изменения в настоящую Политику. Все изменения в Политику вносятся приказом Генерального директора. Новая редакция Политики в обязательном порядке размещается на сайте Общества (https://salt78.ru).
2. Термины и принятые сокращения.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является общество с ограниченной ответственностью «Белгородская Соляная Компания» (ООО «Компания «ЭСКОРТ», ИНН 3123111387), расположенное по адресу: 308009, Белгородская область, город Белгород, Михайловское шоссе, дом 2.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая информация;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Организационные мероприятия по защите персональных данных - меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.
Конфиденциальность персональных данных - обязательное для соблюдения Работником, получившего доступ к персональным данным, требование не допускать их распространения без согласия Субъекта персональных данных или иного законного основания.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
3. Обработка персональных данных.
3.1. Состав персональных данных. В состав персональных данных Субъектов могут входить следующие персональные данные:
3.1.1. Фамилия, имя, отчество;
3.1.2. Дата рождения;
3.1.3. Месторождения;
3.1.4. Паспортные данные:
• вид документа;
• серия и номер документа;
• орган, выдавший документ (наименование, код подразделения);
• дата выдачи документа.
3.1.5. Адрес регистрации места жительства;
3.1.6. Адрес фактического места жительства;
3.1.7. СНИЛС, ИНН;
3.1.8. Пол;
3.1.9. Номер контактного телефона;
3.1.10. Адрес электронной почты;
3.1.11. Сведения о близких родственниках:
• Фамилия, имя, отчество;
• Дата рождения;
• Место рождения;
• Адрес проживания;
• Место работы и должность;
• Контактные данные.
3.1.12. Сведения о трудовой деятельности;
3.1.13. Сведения об образовании;
3.1.14. Сведения об уровне доходов;
3.1.15. Сведения о семейное положении.
3.2. Субъектом персональных данных или его представителем могут быть переданы персональные данные Субъекта, отличные от приведенных в пп. 3.1.1-3.1.15. при условии соответствия их содержания и объема заявленным целям обработки.
3.3. Получение ПД.
3.3.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.
3.3.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.3.3. Документы, содержащие ПД, создаются путем:
– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
– внесения сведений в учетные формы;
– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
3.4. Обработка ПД.
3.4.1. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
3.4.2. Цели обработки персональных данных:
– осуществление трудовых отношений;
– осуществление гражданско-правовых отношений.
3.4.3. Категории субъектов персональных данных.
Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с Обществом в трудовых отношениях;
– физические лица, уволившиеся из Общества;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с Обществом в гражданско-правовых отношениях.
3.4.4. ПД, обрабатываемые Оператором:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
3.4.5. Обработка персональных данных ведется:
– с использованием средств автоматизации;
– без использования средств автоматизации.
3.5. При обработке обеспечиваются точность ПД, их достаточность и актуальность по отношению к целям обработки ПД. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация. Для ПД, не являющихся общедоступными, обеспечивается конфиденциальность.
3.6. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
достижение целей обработки персональных данных или максимальных сроков хранения - в течение 30 дней;
утрата необходимости в достижении целей обработки персональных данных - в течение 30 дней;
предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные
данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;
невозможность обеспечения правомерности обработки персональных данных - в течение 10 дней;
отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных
более не требуется для целей обработки персональных данных - в течение 30 дней;
отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными
потребителями при продвижении товаров и услуг - в течение 2 дней;
истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
ликвидация (реорганизация) Оператора.
3.5. Хранение ПД.
3.5.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.5.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.5.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.5.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.5.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.6. Уничтожение ПД.
3.6.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.6.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.7. Передача ПД.
3.7.1. Оператор передает ПД третьим лицам в следующих случаях:
– субъект выразил свое согласие на такие действия;
– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3.7.2. Перечень лиц, которым передаются ПД.
Третьи лица, которым передаются ПД:
– Пенсионный фонд РФ для учета (на законных основаниях);
– налоговые органы РФ (на законных основаниях);
– Фонд социального страхования РФ (на законных основаниях);
– территориальный фонд обязательного медицинского страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– банки для начисления заработной платы (на основании договора);
– органы МВД России в случаях, установленных законодательством;
- таможенные органы в случаях, установленных законодательством;
- контрагенты Общества (на основании заключенных договоров).
4. Защита персональных данных.
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
разработка политики в отношении обработки персональных данных;
издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана;
ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД;
установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
резервное копирование информации для возможности восстановления;
осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
5. Основные права субъекта ПД и обязанности Оператора.
5.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
5.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4. Обязанности Оператора.
Оператор обязан:
– при сборе ПД предоставить информацию об обработке ПД;
– в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
– при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
– давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
Иные права и обязанности Оператора определяются действующим законодательством.
6. Ответственность за нарушение норм, регулирующих обработку и безопасность персональных данных
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.