Политика обработки и защиты персональных данных

Определения и сокращения, используемые в политике

  • -
    Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных)
  • -
    Обработка персональных данных – любое действие (операция) или совокупность действий (операций),совершаемых с использованием средств информатизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
  • -
    Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц
  • -
    Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
  • -
    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
  • -
    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
  • -
    Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных
  • -
    Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
  • -
    Информация – сведения (сообщения, данные) независимо от формы их представления

Общие положения

  • -
    Настоящий документ определяет политику Общества с ограниченной ответственностью «ИНВЕНТ» (далее – Оператор) в отношении обработки и защиты персональных данных
  • -
    Политика обработки и защиты персональных данных Оператора (далее - Политика) определяет:
    • Правовые основы обеспечения безопасности ПДн;
    • Принципы и цели обработки ПДн;
    • Перечни субъектов ПДн и обрабатываемых ПДн;
    • Операции, совершаемые с ПДн, и сроки их обработки;
    • Права и обязанности субъектов и работников Оператора при обработке ПДн;
    • Примеры, принимаемые Оператора для защиты ПДн;
    • Контроль и надзор за обработкой ПДн.
  • -
    Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных
  • -
    Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных
  • -
    Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после подписания настоящей Политики
  • -
    Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств
  • -
    Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на должностных лиц, принимающих участие в указанных процессах
  • -
    Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации
  • Правовые основы обработки персональных данных

  • -
    Правовыми основами обработки Оператором персональных данных являются:
    • Конституция Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Устав Оператора;
    • Договор между Оператором и субъектом ПДн;
    • Согласие субъекта ПДн на обработку его персональных данных.
  • Персональные данные, обрабатываемые оператором

  • -
    Оператором обрабатываются ПДн следующих категорий субъектов:
    • Работники (в том числе близкие родственники работников),кандидаты на вакантную должность;
    • Клиенты
  • -
    Перечень ПДн работников, обрабатываемых Оператором:
    • Фамилия, имя, отчество;
    • Дата рождения и место рождения;
    • Данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
    • Адрес постоянной регистрации и проживания;
    • Гражданство;
    • Пол;
    • Адрес электронной почты;
    • Номер контактного телефона;
    • Семейное положение;
    • Сведения из свидетельства о постановке на налоговый учет (ИНН);
    • Сведения из свидетельства о государственном пенсионном страховании (СНИЛС);
    • Сведения о воинском учёте;
    • Сведения об образовании, о повышении квалификации, о профессиональной переподготовке;
    • Сведения об ученой степени, ученых званиях;
    • Информация о владении иностранными языками, степень владения;
    • Сведения о начислениях по заработной плате;
    • Должность;
    • Данные о трудовом стаже, включая предыдущие места работы;
    • Данные о налоговых вычетах;
    • Номер банковского лицевого счета, наименование банка;
    • Состав семьи: степень родства, ФИО, дата рождения;
    • Сведения из медицинского полиса;
    • Сведения о состоянии здоровья.
  • -
    Перечень ПДн клиентов, обрабатываемых Оператором:
    • Фамилия, имя, отчество;
    • Дата рождения и место рождения;
    • Место регистрации и постоянного проживания;
    • Данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
    • Сведения из свидетельства о государственном пенсионном страховании (СНИЛС);
    • Сведения из свидетельства о рождении (для несовершеннолетних);
    • Сведения из свидетельства о браке;
    • Описание объекта (местоположение, площадь, кадастровый номер, этаж и т.д.);
    • Контактный телефон;
    • Электронная почта;
    • Аккаунт в социальных сетях.
  • Операции, совершаемые с персональными данными. Сроки обработки персональных данных

  • -
    Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
  • -
    Обработка ПДн осуществляется с момента их получения Оператором и прекращается:
    • По достижению целей обработки ПДн;
    • В связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;
    • В связи с отзывом согласия на обработку ПДн;
    • В связи с ликвидацией Оператора как юридического лица
  • -
    Срок обработки ПДн работников - 75 лет, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.
  • -
    Срок обработки ПДн клиентов – в течение срока действия договора, заключенного между Оператором и клиентом, после окончания договора в течение 3-х лет на бумажном носителе и 5 лет в электронном виде.
  • Права и обязанности субъекта персональных данных

  • -
    В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн
  • -
    Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных
  • -
    Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
  • -
    Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами
  • -
    Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн
  • -
    Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях
  • -
    Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
  • -
    Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда
  • Конфиденциальность персональных данных

  • -
    В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн
  • -
    Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных
  • -
    Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
  • -
    Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами
  • -
    Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн
  • -
    Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях
  • -
    Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
  • -
    Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда
  • Права и обязанности субъекта персональных данных

  • -
    Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом
  • Получение и передача персональных данных третьим лицам

  • -
    Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПДн в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн - в случаях предусмотренных федеральным законодательством
  • Общедоступные источники персональных данных

  • -
    В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПДн – работников Оператора, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться персональные данные работника
  • -
    Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда
  • Поручение обработки персональных данных другому лицу

  • -
    Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой
  • Права и обязанности работников оператора, уполномоченных на обработку персональных данных

  • -
    Работники Оператора, уполномоченные на обработку ПДн обязаны:
    • Знать и выполнять требования законодательства в области обеспечения защиты ПДн;
    • Хранить в тайне известные им ПДн, информировать о фактах нарушения порядка обращения с ПДн, о попытках несанкционированного доступа к ним;
    • Соблюдать правила использования ПДн, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
    • Обрабатывать только те ПДн, к которым получен доступ в силу исполнения служебных обязанностей
  • -
    При обработке ПДн работникам Оператора запрещается:
    • Использовать сведения, содержащие ПДн, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
    • Передавать ПДн по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
  • -
    Работники Оператора, уполномоченные на обработку ПДн, имеют право:
    • Предоставлять ПДн третьим лицам при наличии согласия на это субъекта ПДн, а также в других случаях, предусмотренных действующим законодательством;
    • Мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством РФ.
  • Меры, принимаемые для защиты персональных данных

  • -
    Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их
  • -
    Обеспечение безопасности ПДн достигается, в частности, следующими способами:
    • Назначение ответственного за организацию обработки ПДн;
    • Осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
    • Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн;
    • Определение угроз безопасности ПДн при их обработке в ИСПДн;
    • Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
    • Ведение учета машинных носителей ПДн;
    • Выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
    • Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
    • Контроль принимаемых мер по обеспечению безопасности ПДн и уровнем защищенности ИСПДн;
    • Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  • Контроль и надзор обработки персональных данных

  • -
    Обязанности должностных лиц, осуществляющих контроль обработки и защиту ПДн, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПДн, в Инструкции администратора информационной безопасности персональных данных в информационных системах персональных данных
  • -
    Ответственный за организацию обработки ПДн и администратор информационной безопасности персональных данных в информационных системах персональных данных назначаются приказом руководителя Оператора из числа лиц, допущенных к обработке ПДн
  • -
    Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
  • -
    Уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение
  • -
    Управление Роскомнадзора по Калининградской области:
    • Адрес: 236000, г. Калининград, ул. Коммунальная, дом 4
    • Телефон для справок: (4012) 45-15-50
    • Факс: (4012) 93-00-82
    • E-mail: rsockanc39@rsoc.ru
    • Сайт: http://39.rsoc.ru/
  • -
    Работники Оператора, уполномоченные на обработку ПДн, виновные в нарушении требований законодательства в области защиты ПДн, в том числе допустившие разглашение ПДн, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность
  • Информация об операторе

  • -
    Наименование Оператора: Общество с ограниченной ответственностью «ИНВЕНТ»
  • -
    Юридический адрес (адрес местонахождения): 236006, г. Калининград, Московский проспект, 50
  • Заключительные положения

  • -
    Настоящая Политика утверждена приказом руководителя Оператора
  • -
    Настоящая Политика обязательна для ознакомления и соблюдения всеми сотрудниками Оператора, осуществляющими обработку ПДн
  • -
    Срок действия Политики – не ограничен
  • -
    Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» настоящая Политика опубликована на сайте Оператора
  • -
    Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики
  • -
    Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПДн, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных
  • -
    Контроль соблюдения Политики осуществляется руководителем Оператора
  • Обратная связь

    По всем вопросам по защите и обработке персональных данных обращайтесь в службу контроля и качества, или позвоните по телефону 8 (800) 700-35-39