Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ (далее – Политика) Общества с ограниченной ответственностью «Системы практической безопасности» (далее – Оператор) разработан во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), определяет цели и общие принципы обработки персональных данных (далее – ПДн), а также содержит сведения о реализуемых Оператором требованиях к защите ПДн.
1.2. Термины и определения, используемые в настоящей Политике, соответствуют их значениям, приведенным в Федеральном законе «О персональных данных».
1.3. Обработка ПДн Оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством РФ в области обработки и обеспечения защиты ПДн.
1.4. Действие настоящей Политики распространяется на все операции, которые Оператор совершает с ПДн при их обработке с использованием средств автоматизации, без использования средств автоматизации, а также при смешанной обработке.
1.5. Положения настоящей Политики являются основой для разработки локальных актов Оператора, регламентирующих вопросы обработки и обеспечения защиты ПДн.
1.6. Настоящая Политика является общедоступным документом, публикуемым на страницах официального сайта Оператора (https://systempb.ru) в информационно-телекоммуникационной сети «Интернет» (далее – Сайт Оператора).
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка Оператором ПДн ограничивается достижением целей, определенных настоящей Политикой и требованиями законодательства РФ.
2.2. Оператор осуществляет обработку ПДн для достижения следующих целей:
- ведение кадрового учета работников Оператора, включая регулирование трудовых и иных, непосредственно связанным с кадровым учетом, отношений;
- привлечение и отбор кандидатов на замещение вакантных должностей работников Оператора;
- формирование статистической, налоговой и иных видов отчетности в соответствии с требованиями законодательства РФ;
- осуществление хозяйственной деятельности, в том числе, в рамках договоров гражданско-правового характера, заключаемых с субъектами ПДн;
- осуществление обратной связи с субъектами ПДн.
- выполнение иных функций и обязанностей, возлагаемых на Оператора законодательством РФ.
2.3. Обработка ПДн, несовместимая с заявленными целями, Оператором не осуществляется.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовыми основаниями для обработки ПДн Оператором являются:
- Конституция РФ;
- Трудовой кодекс РФ:
- Гражданский кодекс РФ;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»:
- уставные документы Оператора;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку персональных данных Оператором (далее – Согласие на обработку);
- иные основания, когда получение Оператором Согласия на обработку не требуется в силу законодательства РФ.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор обрабатывает ПДн следующих категорий:
- ПДн работников Оператора (в том числе бывших работников) и родственников работников Оператора в предусмотренных законодательством РФ случаях;
- ПДн кандидатов на замещение вакантных должностей работников Оператора;
- ПДн контрагентов Оператора (физических лиц, состоящих в гражданско-правовых отношениях в Оператором);
- ПДн представителей контрагентов Оператора (юридических лиц) в предусмотренных законодательством РФ случаях.
4.2. К ПДн, обрабатываемым Оператором, могут относиться:
- фамилия, имя, отчество;
- место работы и занимаемая должность;
- номер контактного телефона;
- адрес электронной почты;
- иная информация, в зависимости от конкретной цели обработки ПДн.
4.3. ПДн, с письменного согласия субъекта ПДн, могут включаться в общедоступные источники ПДн (в том числе, корпоративные справочники и адресные книги) в целях информационного обеспечения финансово-хозяйственной деятельности в соответствии с частью 1 статьи 8 Федерального закона «О персональных данных».
4.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн целям обработки, установленным настоящей Политикой.
4.5. Трансграничная передача ПДн Оператором не осуществляется.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка ПДн Оператором осуществляется при условии получения Согласия на обработку, за исключением установленных законодательством РФ случаев, когда обработка ПДн может осуществляться без получения такого согласия.
5.2. Обработке подлежат только ПДн, которые отвечают целям их обработки.
5.3. Субъект ПДн дает Оператору Согласие на обработку в форме, позволяющей подтвердить факт его получения Оператором. В предусмотренных законодательством РФ случаях Согласие на обработку оформляется в письменной форме.
5.4. Действия, которые могут осуществляться Оператором с ПДн при их обработке, включают сбор, систематизацию, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение, передачу, а также иные действия с ПДн, выполняемые в соответствии с действующим законодательством РФ.
5.5. Условием прекращения обработки ПДн является достижение целей их обработки, истечение срока действия Согласия на обработку или его отзыв субъектом ПДн, выявление неправомерной обработки ПДн.
5.6. Оператор обеспечивает хранение ПДн в форме, позволяющей определить субъекта ПДн, в течение срока, не превышающего срок, который требуется для достижения целей обработки ПДн, за исключением случаев, когда срок хранения ПДн установлен федеральным законом РФ или договором, стороной, выгодоприобретателем или поручителем по которому является субъект ПДн.
5.7. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории РФ.
6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
6.1. Оператор имеет право:
- получать от субъекта ПДн достоверные сведения, в том числе, документы, содержащие ПДн, в объеме, необходимом для достижения заявленных целей их обработки;
- требовать от субъекта ПДн своевременного уточнения предоставленных для обработки ПДн.
6.2. Оператор обязан:
- обрабатывать ПДн в порядке, установленном действующим законодательством РФ;
- не раскрывать третьим лицам, не передавать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
- рассматривать обращения субъектов ПДн и их представителей по вопросам, связанным с обработкой ПДн и предоставлять мотивированные ответы;
- принимать меры по уточнению (изменению, обновлению), уничтожению ПДн субъектов ПДн по их обоснованным обращениям.
- обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (инцидентов) на информационные ресурсы Российской Федерации.
7. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты ПДн имеют право:
- на получение информации о своих ПДн, обрабатываемых Оператором;
- на уточнение своих ПДн, их блокирование или уничтожение в случаях, если ПДн являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели их обработки;
- на отзыв Согласия на обработку;
- на принятие предусмотренных законодательством РФ мер, направленных на защиту прав, связанных с обработкой Оператором своих ПДн.
7.2. Субъекты ПДн обязаны:
- предоставлять Оператору достоверные данные о себе;
- предоставлять Оператору документы, содержащие ПДн в объеме, необходимом для целей их обработки;
- сообщать Оператору о необходимости уточнения (изменения, обновления) своих ПДн.
7.3. Лица, предоставившие Оператору недостоверные данные о себе, либо сведения о другом субъекте ПДн, несут ответственность в соответствии с законодательством РФ.
8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
8.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
8.2. Обеспечение безопасности обрабатываемых ПДн достигается, в частности:
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн:
- назначением лица, ответственного за организацию обработки ПДн;
- изданием локальных актов по вопросам обработки ПДн и устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ при обработке ПДн, а также обеспечивающих устранение последствий таких нарушений. Указанные документы не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на Оператора не предусмотренные законодательством РФ полномочия и обязанности;
- осуществлением внутреннего контроля соответствия обработки ПДн требованиями Федерального закона «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения определенных законодательством РФ требований к защите ПДн;
- учетом машинных носителей ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8.3. Обеспечение конфиденциальности ПДн, обрабатываемых Оператором, является обязательным требованием для всех работников Оператора, допускаемым к обработке ПДн для исполнения трудовых обязанностей.
8.4. Работники Оператора, деятельность которых связана с обработкой и/или обеспечением защиты обрабатываемых ПДн, подписывают обязательство о неразглашении ПДн, проходят обучение по вопросам, связанным с обеспечением защиты ПДн и несут ответственность за соблюдение установленных требований по обеспечению безопасности обрабатываемых ПДн в соответствии с требованиями законодательства РФ.
9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1. При установлении факта неточности ПДн или неправомерности их обработки, обрабатываемые ПДн подлежат актуализации Оператором либо, соответственно, их обработка Оператором должна быть прекращена.
9.2. Установление факта неточности ПДн или неправомерности их обработки осуществляется субъектом ПДн либо уполномоченным государственным органом РФ.
9.3. По письменному запросу субъекта ПДн или его представителя Оператор обязан предоставить информацию об осуществляемой им обработке ПДн указанного субъекта. Указанный запрос должен содержать реквизиты документа, удостоверяющего личность субъекта ПДн и его представителя, а также сведения, подтверждающие наличие правоотношений между Оператором и субъектом ПДн (номер и дата заключения соответствующего договора) либо иные сведения, подтверждающие факт обработки ПДн субъекта Оператором, подпись субъекта ПДн или его представителя.
9.4. Если в запросе субъекта ПДн не отражены сведения, указанные в п. 9.3. настоящей Политики, либо субъект не обладает предусмотренными законами РФ правами на доступ к запрашиваемой информации, то Оператор направляет ему мотивированный отказ в предоставлении информации.
9.5. В порядке, определенном п. 9.3. настоящей Политики, субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения, если ПДн являются неточными, неполными, незаконно полученными или не являются необходимыми для заявленной цели их обработки, а также принимать иные предусмотренные законом меры по защите своих прав.
9.6. При достижении Оператором целей обработки, а также при отзыве субъектом ПДн Согласия на обработку, ПДн подлежат уничтожению, если:
- Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
- иное не предусмотрено договором, стороной, выгодоприобретателем или поручителем по которому является субъект ПДн;
- иное не предусмотрено иным соглашением между субъектом ПДн и Оператором.
9.7. Сроки хранения ПДн обусловлены целями обработки, при этом не могут составлять более 50 лет.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Отношения, касающиеся обработки ПДн Оператором и не отраженные в настоящей Политике, регулируются в соответствии с действующим законодательством РФ и локальными актами Оператора, разработанными в рамках его исполнения.
10.2. Субъект ПДн может получить разъяснения по вопросам, касающимся обработки его ПДн, путем направления обращения на электронный адрес Оператора info@systempb.ru.
10.3. Оператор может вносить изменения в настоящую Политику. В актуальной редакции Политики указывается дата ее вступления в действие. Новая редакция Политики вступает в действия с даты ее опубликования на Сайте Оператора, если иное не предусмотрено новой редакцией Политики. Актуальная редакция Политики размещена на Сайте Оператора по адресу: https://systempb.ru/policy.