Политика обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

 г.

Термины и определения, используемые в Политике:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

Оператор персональных данных (Оператор) –  лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определение цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными ();

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Общие положения

Оператор ставит конфиденциальность и безопасность обработки персональных данных в качестве приоритетных задач организации обработки.

Конфиденциальность и безопасность обработки персональных данных достигается в том числе путём разработки и своевременной актуализации организационно-распорядительной документации, положения которой обязательны для исполнения всеми сотрудниками Оператора, допущенных к обработке персональных данных.

На сотрудников, контрагентов, аффилированных лиц распространяются обязательства о строгом соблюдении конфиденциальности.

Обработка, хранение, обеспечение конфиденциальности и безопасности персональных данных производится в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами Оператора.

Политикой обработки персональных данных определяются принципы, порядок и условия обработки персональных данных работников, соискателей, контрагентов Оператора, а также иных субъектов персональных данных, чьи персональные данные обрабатываются Оператором. При этом обязательно обеспечение защиты прав и свобод человека при обработке его персональных данных, включая, но не ограничиваясь, права на неприкосновенность частной жизни, личную и семейную тайну, иные охраняемые законом тайны. 

Политикой обработки персональных данных определяются принципы, порядок и условия обработки персональных данных  субъектов, чьи данные обрабатываются Оператором. При этом обязательно обеспечение защиты прав и свобод человека при обработке его персональных данных, включая, но не ограничиваясь, права на неприкосновенность частной жизни, личную и семейную тайну, иные охраняемые законом тайны. 

Данная Политика будет предоставлена для всеобщего доступа в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», а потому не содержит информации о реализованных мерах по защите персональных данных Оператором, а также иную информацию, которая, будучи использованная неограниченным кругом лиц, может созать риски причинения ущерба, в том числе, деловой репутации Оператора, или субъектам персональных данных.

Неприкосновенность личной сферы пользователя при обработке его персональных данных относится к числу важнейших аспектов деятельности Оператора.

Цели обработки персональных данных

 Оператор осуществляет обработку персональных данных в следующих целях:

 отбор соискателей на вакантные должности Оператора;

 организация кадрового учета Оператора, обеспечение соблюдения законов и иных нормативно-правовых актов; ведение кадрового делопроизводства, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных» и других нормативно-правовых актов;

 заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;

 исполнение прочих обязанностей, возлагаемых на Оператора законодательством;

Обработка биометрических персональных данных не осуществляется.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Трансграничная передача персональных данных Оператором осуществляется в: в следующих целях:  (далее по тексту - "цели трансграничной передачи").

Оператор собирает персональные данные исключительно в необходимом для целей использования объеме.

Правовые основания обработки персональных данных

Персональные данные Оператором обрабатываются на основании:

– Конституции Российской Федерации;

– Гражданского кодекса Российской Федерации;

– Трудового кодекса Российской Федерации;

– согласия на обработку персональных данных (пп.1 ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

– согласия в письменной форме на обработку персональных данных, разрешенных субъектом персональных данных для распространения (ч.1 ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

– достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (пп. 2 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

– участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (пп. 3 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

– исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (пп. 3.1 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

 – исполнение полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (пп.4 ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных")

– исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пп.5 ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»);

.

 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных обрабатываемых Оператором

Перечень обрабатываемых персональных данных, подлежащих защите Оператором, определен целями их обработки, Федеральным законом № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами.

Оператором утвержден перечень персональных данных подлежащих защите.

Оператор обрабатывает следующие персональные данные работников для цели исполнения трудовых договоров, конкретизированные в Разделе 3 настоящей Политики:

Оператор обрабатывает следующие персональные данные соискателей на вакантные должности для цели подбора:

.

Оператор обрабатывает следующие персональные данные представителей/работников Клиентов и Контрагентов Оператора для целей заключения и исполнения договоров:

.

 Трансграничная передача персональных данных Оператором осуществляется в отношении следующих данных: .

Порядок, условия, способы обработки персональных данных

Отказ субъекта персональных данных от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

Оператор осуществляет обработку персональных данных  способом.

В отношении  целей заключения и исполнения трудовых и гражданско-правовых договоров, конкретизированных в Разделе 3 настоящей Политики, осуществляются операции по обработке персональных данных.

Под осуществляемыми     в рамках указанных выше целей обработки операциями обработки персональных данных понимается их .

Персональные данные передаются в  (адрес:  ) с целью:  и на основании . Объем передаваемых данных:  . Лицо, осуществляющее обработку персональных данных, обязано обеспечить соблюдение уровня защищенности не ниже .

Оператор может передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных, или иным образом затрагивающих его права и законные интересы, допускается при наличии согласия субъекта персональных данных в письменной форме.

Обработка персональных данных Оператором производится на основе соблюдения принципов:

– законности целей и способов обработки персональных данных;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Сроки обработки персональных данных и их уничтожения

Сроки обработки персональных данных определяются в соответствии  с Приказом Минкультуры РФ от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

Права и обязанности

Оператор персональных данных вправе:

– отстаивать свои интересы в суде;

– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

– отказывать в предоставлении персональных данных в предусмотренных законодательством случаях;

– использовать персональные данные субъекта без его согласия, в предусмотренных законодательством случаях и в оправданном объёме.

 Оператор персональных данных обязуется:

– обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;

– внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;

– выполнять требования законодательства Российской Федерации.

Субъект персональных данных имеет право:

– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также предпринимать предусмотренные законом меры по защите своих прав;

– требовать перечень своих персональных данных, обрабатываемых  Оператором и информацию об источниках их получения;

– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

– требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

Субъект персональных данных обязан:

– передавать достоверные, необходимые для достижения целей обработки персональные данные, а также при необходимости подтверждать достоверность персональных данных предъявлением оригиналов документов;

– в случае изменения персональных данных, необходимых для достижения целей обработки, уведомить Оператора об уточненных персональных данных и подтвердить изменения оригиналами документов;

– выполнять требования законодательства Российской Федерации.

Обеспечение безопасности и конфиденциальности персональных данных

Оператором разработаны и внедрены необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

 Для обеспечения безопасности персональных данных приняты следующие меры:

– назначено лицо, ответственное за организацию обработки персональных данных;

– утверждены и своевременно актуализируются документы, определяющие политику    в отношении обработки персональных данных, организационные и технические меры, направленные на предотвращение и выявление нарушений законодательства. К таким документам относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; настоящая Политика в отношении обработки персональных данных;  приказ об утверждении мест хранения персональных данных и лиц, ответственных за соблюдение конфиденциальности персональных данных при их хранении;  инструкция пользователя ИСПДн;  приказ о назначении группы реагирования на инциденты информационной безопасности;

– внутренний аудит соответствия обработки персональных данных законодательству РФ производится в соответствии с Правилами внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных,  планом внутренних проверок,   положением об обработке и защите персональных данных;

– последствия нарушений законодательства РФ устраняются в соответствии с законодательством РФ, положением об обработке и защите персональных данных; инструкцией лица, ответственного за организацию обработки персональных данных; 

– для ИСПДн разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;

– периодическая оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

– периодическая оценка вреда, который может быть причинен субъектам персональных данных;

– сотрудники, допущенные к обработке персональных данных обязываются проходить инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

 Рассмотрение запросов и обращений субъектов персональных данных осуществляется в соответствии с положениями действующего законодательства Российской Федерации, а также в соответствии с локальными нормативными актами .

Субъекты персональных данных обладают правами:

- получения информации, касающейся обработки его персональных данных:

1) подтверждение факта обработки персональных данных

2) правовых оснований и целей обработки персональных данных;

3) целей и применяемых Оператором способов обработки персональных данных;

4) наименование и место нахождения лиц, имеющих доступ к персональным данным;

5) состав обрабатываемых персональных данных;

6) сроки обработки данных;

- требования уточнения персональных данных, их блокирования или уничтожения если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- получения информации о порядке осуществления ими своих прав;

- информацию о трансграничной передаче персональных данных в случае её осуществления;

Ограничения доступа субъекта к персональным данным возможны в случаях:

- обработки данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляемой в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

 - доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства;

Сведения предоставляются субъекту при поступлении соответствующего запроса от него или его представителя.

 Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

Запросы субъектов персональных данных подлежат обязательному рассмотрению сотрудниками, в обязанности которых входит обработка персональных данных.

Запросы от субъектов персональных данных и/или их представителей регистрируются в день их поступления.

Предельные сроки рассмотрения запроса субъекта персональных данных (его представителя) определяются законодательством Российской Федерации.

Заключительные положения

К настоящей Политике установлен неограниченный доступ.

Изменения, дополнения подлежат внесению в Политику в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных

Контроль исполнения требований настоящей Политики возложен на ответственного за организацию обработки персональных данных  Оператора.

За невыполнение требований норм, регулирующих обработку и защиту персональных данных должностные лица Оператора несут ответственность предусмотренную законодательством Российской Федерации и внутренними документами  Оператора.

Ответственность должностных лиц имеющих доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.