1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика разработана в соответствии с 152-ФЗ в целях обеспечения защиты прав
и свобод субъекта ПДн при обработке его ПДн Обществом.
1.2.Действие Политики распространяется в отношении всех ПДн, которые обрабатывает Общество, в том числе полученных после утверждения Политики.
1.3.Политика также определяет правила взаимодействия с Контрагентами в области обработки ПДн при реализации и приобретении Продуктов.
1.4.При обработке ПДн Общество придерживается следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их сбора;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке ПДн должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки. Общество обязуется принимать необходимые меры по удалению или уточнению неполных или неточных ПДн, а также обеспечивать принятие таких мер лицами, обрабатывающими ПДн на основании поручения Общества;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок их хранения не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом;
- не допускается дискриминация при обработке ПДн. В этой связи Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. Общество может обрабатывать сведения о состоянии здоровья и судимости только в предусмотренных 152-ФЗ случаях;
- обработка ПДн Обществом является прозрачной, Общество стремится к диалогу с субъектом ПДн и готово предоставлять дополнительные разъяснения, касающиеся обработки ПДн, в доступной и понятной форме.
1.5.Общество стремится к проектируемой приватности, а именно к тому, чтобы при осуществлении деятельности Общества учитывались требования и принципы 152-ФЗ.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПДН
2.1.Общество обрабатывает ПДн на основании:
- нормативных правовых актов, регулирующие отношения, которые связаны с деятельностью оператора, включая, но не ограничиваясь, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- учредительных документов и локальных нормативных актов Общества;
- договоров, заключаемых между Обществом и субъектами ПДн, включая трудовые договоры;
- договоров, заключаемых между Обществом и его контрагентами (операторами ПДн), включая договоры поручения на обработку ПДн;
- согласий на обработку ПДн.
Помимо случаев, прямо предусмотренных законодательством Российской Федерации, Общество вправе обрабатывать ПДн для защиты своих прав и законных интересов.
2.2.Общество презюмирует, что Контрагент получил все необходимые согласия субъектов ПДн законно или иным образом обеспечили правомерную передачу Обществу ПДн до даты начала их обработки Обществом.
3. ПОРЯДОК ОБРАБОТКИ ПДН
3.1.Способы обработки ПДн.
Обработка ПДн может осуществляться Обществом как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем (включая, но не ограничиваясь):
- получения оригиналов необходимых документов, копирования оригиналов документов;
- получения электронного вида информации, содержащей ПДн;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- формирования ПДн в ходе кадровой работы;
- внесения ПДн в ИСПДн.
3.2.Перечень действий (операций) с ПДн, которые могут совершаться Обществом:
- сбор, получение, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
3.3.Обработка ПДн, разрешенных субъектами ПДн для распространения, осуществляется исключительно при условии получения отдельного согласия в порядке, установленном 152-ФЗ.
3.4.Информация о целях обработки ПДн, а также категориях и перечне обрабатываемых ПДн, категориях субъектов, ПДн которых обрабатываются, способах и сроках их обработки и хранения, порядке уничтожения содержится в Приложении № 1 к Политике.
3.5.Возможна обработка ПДн в иных целях, которые носят несистематический и разовый характер, если у Общества имеются основания для такой обработки, предусмотренные 152-ФЗ или иными нормативными правовыми актами.
3.6.Общество вправе поручать обработку ПДн другому лицу на основании заключаемого с этим лицом договора или передавать ПДн другим лицам.
В указанных случаях Общество обязуется осуществлять такие действия с соблюдением требований, установленных 152-ФЗ.
3.7.Условия прекращения обработки ПДн.
Общество прекращает обработку ПДн в следующих случаях:
- достижение целей обработки ПДн;
- истечение срока действия или отзыв субъектом ПДн согласия на их обработку, если (1) сохранение персональных данных более не требуется для целей их обработки; (2) иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; (3) Общество не вправе осуществлять обработку без согласия субъекта ПДнна основаниях, предусмотренных 152-ФЗ или иными федеральными законами;(4) иное не предусмотрено иным соглашением между оператором и субъектом ПДн;
- получение уведомления контрагента Общества об истечении срока действия согласия, на основании которых ПДн переданы или поручены на обработку Обществу;
- получения требования о прекращении обработки ПДн в порядке, предусмотренном ч. 5.1 ст. 21 152-ФЗ, если Общество не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ;
- получение требования о прекращении передачи (распространения, предоставления, доступа) ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ч. 12 ст. 10.1 152-ФЗ;
- подтверждение факта неправомерности обработки ПДн.
3.8.В случае поступления обращения субъекта ПДн о прекращении обработки ПДн такое прекращение производится в порядке 152-ФЗ.
3.9.В случае получения уведомления Контрагента об отзыве согласия субъектом ПДн и/или о необходимости прекращения обработки ПДн Общество вправе приостановить реализацию Продуктов и/или ограничить функциональность реализуемых Продуктов в отношении такого Контрагента, если обработка ПДн Обществом является неотъемлемым
условием реализации Продуктов.
3.10. Порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных оснований прекращения их обработки:
- на бумажном носителе: уничтожаются путем измельчения в шредере;
- в электронном виде: (1) уничтожение ПДн средствами встроенных функций ИСПДн, либо (2) ПДн стираются с информационных носителей или физически уничтожаются сами информационные носители, на которых хранятся ПДн.
3.11. Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения ПДн, которые утверждены нормативными правовыми актами.
3.12. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.13. Трансграничная передача ПДн Обществом может осуществляться в соответствии и порядке, определенном 152-ФЗ. В случае осуществления трансграничной передачи ПДн информация об этом будет отражена в Реестре операторов, осуществляющих обработку ПДн.
3.14. В порядке и случаях, предусмотренных законодательством и локальными нормативными актами Общества документы, содержащие ПДн, могут быть переданы в архив. В указанном случае организация хранения, комплектования,учета и использования содержащих ПДн документов осуществляется в соответствии с законодательством об архивном деле.
4. ПРАВА СУБЪЕКТОВ ПДН
4.1.В соответствии с 152-ФЗ субъект ПДн имеет право:
4.1.1. На доступ к ПДн. Субъект ПДн имеет право на получение сведений, касающихся обработки его ПДн Обществом.
4.1.2. На защиту своих прав и интересов. В случае если субъект ПДн считает,что Общество нарушает его права, он вправе обжаловать действия или бездействие Общества. В том числе субъект ПДн имеет право на обжалование решений, принятых на основании исключительно автоматизированной обработки ПДн.
4.1.3. На управление своими ПДн. Субъект ПДн вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.Субъект ПДн вправе требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.2.Порядок реализации прав субъектов ПДн.
4.2.1. Субъект ПДн вправе обратиться в Общество с запросом, касающимся обработки его ПДн. Указанный запрос должен быть составлен в соответствии с требованиями, установленными 152-ФЗ.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Общество рассматривает запрос субъекта ПДн в срок, установленный законодательством.
Общество вправе не рассматривать анонимные запросы, запросы без подписи и запросы, не позволяющие однозначно идентифицировать субъекта ПДн.
4.3.Субъект вправе отозвать согласие на обработку ПДн. После получения такого отзыва Общество прекратит обработку ПДн или обеспечить прекращение их обработки лицом, действующим по поручению Общества, в срок, установленный законодательством.
При этом Общество вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными
законами.
4.4.Контакты для направления запросов, обращений, требований, отзывов согласий на обработку ПДн и иных документов, связанных с обработкой ПДн, указаны на Сайте Общества.
5. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА.
5.1.Общество вправе:
- принимать локальные нормативные акты в развитие Политики;
- в любой момент изменить редакцию Политики и/или Приложений к ней. Контрагенты обязаны самостоятельно следить за изменениями положений Политики.
- поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
- передать ПДн другому лицу (оператору ПДн) с согласия субъекта ПДн, если иное не предусмотрено федеральным законом;
- запрашивать у Контрагента информацию и документы, подтверждающие принятие мер по соблюдению требований 152-ФЗ в области безопасности и конфиденциальности ПДн (в том числе и до начала их обработки).
5.2.Обязанности Общества:
- организовывать обработку ПДн в Обществе в соответствии с требованиями 152-ФЗ;
- обеспечивать защиту ПДн, обрабатываемых в Обществе, от их неправомерного использования или утраты;
- соблюдать конфиденциальность ПДн;
- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов ПДн и их законных представителей;
- сообщать в Роскомнадзор по запросу этого органа необходимую информацию в срок, установленный законодательством;
- устранять нарушения законодательства, допущенные при обработке ПДн;
- уточнять, блокировать и уничтожать ПДн в случаях, предусмотренных 152-ФЗ;
- выполнять иные требования, установленные 152-ФЗ и другими нормативными правовыми актами, регулирующими вопросы обработки ПДн.
5.3.При обработке ПДн в Обществе принимают необходимые правовые, организационные и технические меры или обеспечивают их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также иных неправомерных действий в отношении ПДн.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН
6.1.Общество стремится обеспечить безопасность обрабатываемых ПДн, для чего принимает необходимые правовые, организационные и технические меры, а также дополнительные меры, направленные на внедрение лучших практик в области приватности.
6.2.В Обществе реализуются следующие требования законодательства в области ПДн:
- назначено лицо, ответственное за организацию обработки ПДн; приняты локальные нормативные акты, определяющие политику Общества в отношении обработки ПДн, включая настоящую Политику;
- осуществляется внутренний контроль (аудит) соответствия обработки ПДн требованиям 152-ФЗ;
- осуществлена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ;
- работники Общества, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства РФ в области ПДн, в том числе требованиями к защите ПДн, а также локальными нормативными актами Общества в отношении обработки ПДн;
- работники Общества, осуществляющие обработку ПДн без использования средств автоматизации, проинформированы о факте обработки ими ПДн, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Общества;
- работниками Общества, непосредственно осуществляющими обработку ПДн, даны обязательства о неразглашении ПДн, к которым им предоставлен доступ на период исполнения должностных обязанностей;
- Обществом на Сайте опубликована настоящая Политика;
- по требованию Роскомнадзора Общество готово предоставить локальные нормативные акты, определяющие политику Общества в отношении обработки ПДн, включая настоящую Политику, а также осуществлять иное взаимодействие в целях защиты ПДн.
6.3.Обществом приняты следующие меры по обеспечению безопасности ПДн при их обработке, необходимые для выполнения требований к защите ПДн в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»:
- определены требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
-определены угрозы безопасности ПДн при их обработке в ИСПДн;
- применяются организационные и технические меры по обеспечению безопасности ПДн в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн, в частности:
- организован режим безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
- обеспечивается сохранность носителей ПДн и ведется их учет. Для реализации указанного требования Обществом, в том числе обеспечиваются меры физической защиты носителей ПДн, включая соблюдение требований пожарной безопасности. Носители ПДн хранятся
исключительно в специально отведенных местах с ограниченным доступом;
- утвержден перечень лиц, которым доступ к ПДн, обрабатываемым в ИСПДн, необходим для выполнения должностных обязанностей. Для реализации указанного требования Обществом, в том числе, используются решения по идентификации и контроля доступа пользователей в ИСПДн.
- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
Для реализации указанного требования Обществом, в том числе, используются антивирусное программное обеспечение, назначено лицо, ответственное за защиту ПДн, в обязанности которого входит, в том числе, обеспечение безопасности ПДн в ИСПДн.
-проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода ИСПДн в эксплуатацию;
- определен порядок обнаружения фактов несанкционированного доступа к ПДн и принятия мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.
Для реализации указанного требования Обществом, в том числе, осуществляется постоянный мониторинг защищенности ИСПДн, и используются сертифицированные программные средства по обнаружению компьютерных атак на ИСПДн;
- определен порядок восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществляется постоянный контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- при фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель.
7. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН
7.1.Общество вправе осуществлять трансграничную передачу ПДн в порядке, предусмотренном законодательством Российской Федерации.
7.2.Трансграничная передача ПДн может осуществляться Обществом в следующих целях:
- взаимодействие с иностранными контрагентами, включая переписку, заключение и исполнение договоров, организацию заграничных командировок;
- предоставление Продуктов иностранным контрагентам;
- использование иностранных информационных систем в случае отсутствия российских аналогов.
8. ОБРАБОТКА ПДН, РАЗРЕШЕННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ
8.1.Общество обязуется осуществлять распространение ПДн только в случаях и в порядке, установленных 152-ФЗ. В частности, Общество обязуется в случаях, когда для обработки ПДн, разрешенных для распространения, требуется согласие, обеспечить субъектам ПДн возможность определить перечень таких ПДн, а также установить запреты и условия на их обработку.
8.2.Если на Сайте Общества не указано иное, в предоставленных Обществу согласиях на обработку ПДн, разрешенных для распространения, субъекты ПДн не установили условия и запреты при распространении ПДн. В случае установления таких условий и запретов информация будет незамедлительно опубликована на Сайте.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Политика утверждается приказом генерального директора Общества.
9.2. Политика является обязательной для исполнения:
- всеми работниками Общества, имеющими доступ к ПДн;
- Контрагентами в рамках реализации Продукта, в части порядка взаимодействия по обработке ПДн, если иное не установлено соглашением сторон.
9.3. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.
9.4. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.