Политика обработки и защиты персональных данных
Определения и сокращения, используемые в политике
- -Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных)
- -Обработка персональных данных – любое действие (операция) или совокупность действий (операций),совершаемых с использованием средств информатизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
- -Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц
- -Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
- -Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
- -Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
- -Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных
- -Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
- -Информация – сведения (сообщения, данные) независимо от формы их представления
Общие положения
-
Настоящий документ определяет политику Общества с ограниченной ответственностью «ИНВЕНТ» (далее – Оператор) в отношении обработки и защиты персональных данных
-
Политика обработки и защиты персональных данных Оператора (далее - Политика) определяет:
- ●Правовые основы обеспечения безопасности ПДн;
- ●Принципы и цели обработки ПДн;
- ●Перечни субъектов ПДн и обрабатываемых ПДн;
- ●Операции, совершаемые с ПДн, и сроки их обработки;
- ●Права и обязанности субъектов и работников Оператора при обработке ПДн;
- ●Примеры, принимаемые Оператора для защиты ПДн;
- ●Контроль и надзор за обработкой ПДн.
-
Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных
-
Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных
-
Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после подписания настоящей Политики
-
Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств
-
Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на должностных лиц, принимающих участие в указанных процессах
-
Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации
Правовые основы обработки персональных данных
-
Правовыми основами обработки Оператором персональных данных являются:
- ●Конституция Российской Федерации;
- ●Трудовой кодекс Российской Федерации;
- ●Гражданский кодекс Российской Федерации;
- ●Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- ●Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ●Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- ●Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- ●Устав Оператора;
- ●Договор между Оператором и субъектом ПДн;
- ●Согласие субъекта ПДн на обработку его персональных данных.
Персональные данные, обрабатываемые оператором
-
Оператором обрабатываются ПДн следующих категорий субъектов:
- ●Работники (в том числе близкие родственники работников),кандидаты на вакантную должность;
- ●Клиенты
-
Перечень ПДн работников, обрабатываемых Оператором:
- ●Фамилия, имя, отчество;
- ●Дата рождения и место рождения;
- ●Данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- ●Адрес постоянной регистрации и проживания;
- ●Гражданство;
- ●Пол;
- ●Адрес электронной почты;
- ●Номер контактного телефона;
- ●Семейное положение;
- ●Сведения из свидетельства о постановке на налоговый учет (ИНН);
- ●Сведения из свидетельства о государственном пенсионном страховании (СНИЛС);
- ●Сведения о воинском учёте;
- ●Сведения об образовании, о повышении квалификации, о профессиональной переподготовке;
- ●Сведения об ученой степени, ученых званиях;
- ●Информация о владении иностранными языками, степень владения;
- ●Сведения о начислениях по заработной плате;
- ●Должность;
- ●Данные о трудовом стаже, включая предыдущие места работы;
- ●Данные о налоговых вычетах;
- ●Номер банковского лицевого счета, наименование банка;
- ●Состав семьи: степень родства, ФИО, дата рождения;
- ●Сведения из медицинского полиса;
- ●Сведения о состоянии здоровья.
-
Перечень ПДн клиентов, обрабатываемых Оператором:
- ●Фамилия, имя, отчество;
- ●Дата рождения и место рождения;
- ●Место регистрации и постоянного проживания;
- ●Данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- ●Сведения из свидетельства о государственном пенсионном страховании (СНИЛС);
- ●Сведения из свидетельства о рождении (для несовершеннолетних);
- ●Сведения из свидетельства о браке;
- ●Описание объекта (местоположение, площадь, кадастровый номер, этаж и т.д.);
- ●Контактный телефон;
- ●Электронная почта;
- ●Аккаунт в социальных сетях.
Операции, совершаемые с персональными данными. Сроки обработки персональных данных
-
Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
-
Обработка ПДн осуществляется с момента их получения Оператором и прекращается:
- ●По достижению целей обработки ПДн;
- ●В связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;
- ●В связи с отзывом согласия на обработку ПДн;
- ●В связи с ликвидацией Оператора как юридического лица
-
Срок обработки ПДн работников - 75 лет, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.
-
Срок обработки ПДн клиентов – в течение срока действия договора, заключенного между Оператором и клиентом, после окончания договора в течение 3-х лет на бумажном носителе и 5 лет в электронном виде.
Права и обязанности субъекта персональных данных
-
В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн
-
Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных
-
Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
-
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами
-
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн
-
Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях
-
Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
-
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда
Конфиденциальность персональных данных
-
В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн
-
Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных
-
Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
-
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами
-
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн
-
Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях
-
Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
-
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда
Права и обязанности субъекта персональных данных
-
Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом
Получение и передача персональных данных третьим лицам
-
Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПДн в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн - в случаях предусмотренных федеральным законодательством
Общедоступные источники персональных данных
-
В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПДн – работников Оператора, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться персональные данные работника
-
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда
Поручение обработки персональных данных другому лицу
-
Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой
Права и обязанности работников оператора, уполномоченных на обработку персональных данных
-
Работники Оператора, уполномоченные на обработку ПДн обязаны:
- ●Знать и выполнять требования законодательства в области обеспечения защиты ПДн;
- ●Хранить в тайне известные им ПДн, информировать о фактах нарушения порядка обращения с ПДн, о попытках несанкционированного доступа к ним;
- ●Соблюдать правила использования ПДн, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
- ●Обрабатывать только те ПДн, к которым получен доступ в силу исполнения служебных обязанностей
-
При обработке ПДн работникам Оператора запрещается:
- ●Использовать сведения, содержащие ПДн, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
- ●Передавать ПДн по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
-
Работники Оператора, уполномоченные на обработку ПДн, имеют право:
- ●Предоставлять ПДн третьим лицам при наличии согласия на это субъекта ПДн, а также в других случаях, предусмотренных действующим законодательством;
- ●Мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством РФ.
Меры, принимаемые для защиты персональных данных
-
Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их
-
Обеспечение безопасности ПДн достигается, в частности, следующими способами:
- ●Назначение ответственного за организацию обработки ПДн;
- ●Осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
- ●Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн;
- ●Определение угроз безопасности ПДн при их обработке в ИСПДн;
- ●Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
- ●Ведение учета машинных носителей ПДн;
- ●Выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
- ●Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- ●Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
- ●Контроль принимаемых мер по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;
- ●Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Контроль и надзор обработки персональных данных
-
Обязанности должностных лиц, осуществляющих контроль обработки и защиту ПДн, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПДн, в Инструкции администратора информационной безопасности персональных данных в информационных системах персональных данных
-
Ответственный за организацию обработки ПДн и администратор информационной безопасности персональных данных в информационных системах персональных данных назначаются приказом руководителя Оператора из числа лиц, допущенных к обработке ПДн
-
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
-
Уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение
-
Управление Роскомнадзора по Калининградской области:
- ●Адрес: 236000, г. Калининград, ул. Коммунальная, дом 4
- ●Телефон для справок: (4012) 45-15-50
- ●Факс: (4012) 93-00-82
- ●E-mail: rsockanc39@rsoc.ru
- ●Сайт: http://39.rsoc.ru/
-
Работники Оператора, уполномоченные на обработку ПДн, виновные в нарушении требований законодательства в области защиты ПДн, в том числе допустившие разглашение ПДн, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность
Информация об операторе
-
Наименование Оператора: Общество с ограниченной ответственностью «ИНВЕНТ»
-
Юридический адрес (адрес местонахождения): 236006, г. Калининград, Московский проспект, 50
Заключительные положения
-
Настоящая Политика утверждена приказом руководителя Оператора
-
Настоящая Политика обязательна для ознакомления и соблюдения всеми сотрудниками Оператора, осуществляющими обработку ПДн
-
Срок действия Политики – не ограничен
-
Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» настоящая Политика опубликована на сайте Оператора
-
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики
-
Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПДн, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных
-
Контроль соблюдения Политики осуществляется руководителем Оператора