Политика в отношении обработки персональных данных
1. Термины и определения
- В настоящей Политике в отношении обработки персональных данных используются следующие термины:
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
- Близкие родственники - супруг, супруга, родители, дети, усыновители, усыновленные, родные братья и родные сестры, дедушка, бабушка, внуки.
- Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Внутренний нормативный документ – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, создаваемая Оператором и используемая в его деятельности.
- Доступ к персональным данным – возможность получения персональных данных и их использование.
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Информация – сведения (сообщения, данные) независимо от формы их представления.
- Использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
- Конфиденциальная информация (сведения конфиденциального характера) – сведения, содержащие информацию, составляющую коммерческую тайну.
- Конфиденциальность персональных данных – запрет Оператору и иным лицам, получившим доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.
- Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ООО "Банкрот Финанс").
- Персональные данные – любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных).
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- Работники – субъекты трудового права, физические лица, работающие по трудовому договору у работодателя и получающие за это заработную плату.
- Субъект персональных данных – лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
- Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Угроза информационной безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, а также иные несанкционированные действия при их обработке в информационной системе персональных данных или без использования средств автоматизации.
- Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Файлы «cookie» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя.
Используемые сокращения.
ВНД – Внутренний нормативный документ.
ПДн – Персональные данные.
Политика – Политика Оператора в отношении обработки персональных данных (ПДн).
2. Общие положения
- Настоящая Политика определяет принципы, условия и способы обработки ПДн, в том числе защиты ПДн в деятельности ИП.
- Настоящая Политика разработана в целях обеспечения необходимого и достаточного уровня информационной безопасности ПДн и процессов, связанных с их обработкой, а также для обеспечения защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Обработка и обеспечение безопасности ПДн осуществляется Оператором в соответствии с законодательством Российской Федерации, ВНД Оператора, в том числе требованиями к защите ПДн.
- ПДн являются конфиденциальной, строго охраняемой информацией. На них распространяются все требования, предъявляемые законодательством к защите конфиденциальной информации.
- Законодательные и иные нормативные правовые акты Российской Федерации, ВНД, в соответствии с которыми определяется Политика в отношении обработки:
- Конституция Российской Федерации.
- Трудовой кодекс Российской Федерации.
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Иные нормативные правовые акты, нормативные акты, правовые по отдельным вопросам, касающимся обработки ПДн (в том числе изданные государственными органами, органами местного самоуправления в пределах своих полномочий).
- В целях реализации положений Политики Оператором разрабатываются соответствующие ВНД и иные документы, в том числе:
- Устав.
- Приказ о назначении лица, ответственного за организацию обработки ПДн.
- Перечень работников, допущенных к обработке ПДн.
- Иные ВНД и документы, регламентирующие вопросы обработки ПДн.
- Требования настоящей Политики распространяются на всех работников Оператора.
3. Цели обработки ПДн
- Обработка ПДн Оператором осуществляется в следующих целях:
- Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, ВНД Оператора.
- Осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.
- Регулирование отношений, возникающих в рамках договора о негосударственном пенсионном обеспечении, добровольном медицинском страховании, медицинском обслуживании и других видов социального обеспечения.
- Исчисление взносов на обязательное социальное и пенсионное страхование.
- Защита жизни, здоровья или иных жизненно важных интересов субъектов ПДн.
- Осуществление деятельности, предусмотренной действующим законодательством Российской Федерации.
- Подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и ВНД Оператора.
- Организация кадрового учета Оператора, обеспечение соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании различного вида льготами, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральными законами, а также ВНД Оператора.
- Защита прав и интересов субъектов ПДн относительно их ПДн, обрабатываемых Оператором.
- Обезличенные данные пользователей, собираемые с помощью сервисов интернет- статистики, служат для сбора информации о действиях пользователей на сайте, улучшения качества сайта и его содержания.
- В иных законных целях.
4. Принципы и условия обработки ПДн
- Оператором соблюдаются следующие принципы обработки ПДн:
- Обработка ПДн осуществляется в соответствии с конкретными заранее определенными и законными целями и производится только до момента достижения этих целей.
- Содержание и объем ПДн не противоречат заявленным целям, не являются избыточными по отношению к ним.
- При обработке ПДн обеспечиваются точность, достаточность, актуальность ПДн по отношению к целям обработки за счет применения необходимых мер по удалению или уточнению неполных, или неточных данных.
- Объединение баз данных, содержащих ПДн, цели обработки которых не совместимы между собой, недопустимо.
- Хранение ПДн осуществляется в форме, позволяющей идентифицировать субъект ПДн, и ограничивается установленными целями обработки ПДн.
- По достижении целей обработки или в случае утраты необходимости их достижения ПДн подлежат уничтожению в соответствии с законодательством.
- Соблюдаются следующие условия обработки ПДн:
- Обработка ПДн осуществляется только с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством.
- Оператор несет ответственность перед субъектом ПДн за обработку ПДн, в том числе выполняемую третьим лицом на основании договора между Оператором и таким третьим лицом.
- Работники Оператора, имеющие доступ к ПДн, не раскрывают ПДн третьим лицам и не распространяют их без согласия субъекта ПДн, если иное не предусмотрено законодательством или договором между Оператором и субъектом ПДн.
- Оператор обрабатывает обезличенные данные о пользователе в случае, если это разрешено в настройках браузера пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
5. Перечень субъектов, ПДн которых обрабатываются Оператором
- Оператором обрабатываются ПДн следующих категорий субъектов:
- ПДн работника Оператора, уволенного работника, кандидата на вакантные должности — информация, необходимая Оператору в связи с трудовыми отношениями и касающиеся конкретного работника.
- ПДн близких родственников работников Оператора – информация, необходимая Оператору в случаях и целях, предусмотренных действующим законодательством.
- ПДн Клиента (потенциального Клиента, партнера, контрагента), а также ПДн руководителя, участника (акционера), бенефициарного владельца или работника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Оператора — информация, необходимая Оператору для выполнения своих обязательств и осуществления прав в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации.
6. Перечень ПДн, обрабатываемых Оператором
- Перечень ПДн, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и ВНД Оператора с учетом целей обработки ПДн, указанных в разделе 4 настоящей Политики.
- Оператор не осуществляет обработку биометрических ПДн.
- Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не осуществляется.
- Также на официальном сайте Оператора происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie» с помощью сервисов интернет-статистики (Яндекс. Метрика, Google Analytics и др.)
7. Способы обработки ПДн
- Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
- Обработка ПДн осуществляется следующими способами:
- Неавтоматизированная обработка ПДн.
- Автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
- Смешанная обработка ПДн.
8. Права субъекта ПДн
- В установленном законодательством РФ порядке субъект ПДн вправе получать доступ к следующим сведениям:
- Подтверждение факта обработки ПДн.
- Правовые основания и цели обработки ПДн.
- Цели и применяемые способы обработки ПДн.
- Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона.
- Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом.
- Сроки обработки ПДн, в том числе сроки их хранения.
- Порядок реализации субъектом ПДн прав, предусмотренных Федеральным законом
№152-ФЗ «О персональных данных».
- Информация об осуществленной или о предполагаемой трансграничной передаче ПДн.
- Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
- Информация о способах исполнения Оператором обязанностей, установленных ст.18.1 Федерального закона № 152-ФЗ.
- Иные сведения, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» или другими Федеральными законами.
- Субъект ПДн имеет право на:
- Принятие предусмотренных законом мер по защите своих прав.
- Уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными по отношению к заявленной цели обработки.
- Получение сведений, указанных в п. 8.1. настоящей Политики, в полном объеме, а также ознакомление с обрабатываемыми ПДн при направлении запроса или обращения Оператору.
- Повторное обращение или запрос на предоставление информации об обрабатываемых ПДн в случае, если они не были предоставлены в полном объеме относительно первоначального запроса.
- Обжалование действия или бездействия Оператора в уполномоченный орган в случае осуществления Оператором обработки ПДн субъекта с нарушением требований законодательства, а также прав и свобод субъекта ПДн, в судебном порядке.
- Компенсацию морального вреда независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков и возмещение убытков в судебном порядке.
- Отзыв своего согласия на обработку ПДн.
9. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»
- Оператор при осуществлении обработки ПДн:
- Назначает лицо, ответственное за организацию обработки ПДн, которое доводит до работников положения законодательства Российской Федерации и ВНД в области ПДн и осуществляет внутренний контроль за их соблюдением.
- Применяет правовые, организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления ПДн, а также от иных неправомерных действий в отношении ПДн.
- Издает ВНД, определяющие политику и вопросы обработки и защиты ПДн, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- Проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства, соотносит указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 07.2006 г. № 152-ФЗ «О персональных данных».
- Осуществляет ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ВНД в области ПДн, в том числе требованиями к защите ПДн, и проводит обучение указанных работников.
- Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
- Осуществляет сбор ПДн субъекта с соблюдением требований, предусмотренных ст.18 Федерального закона №152-ФЗ «О персональных данных» с предоставлением субъекту ПДн информации, указанной в п. 1. настоящей Политики, а в случае получения ПДн не от субъекта ПДн – информации в соответствии с ч.4 ст.18 Федерального закона №152-ФЗ «О персональных данных», а в случае отказа от предоставления ПДн, и отказа дать согласие на их обработку, которые должны быть предоставлены на основании Федерального закона, – разъясняет субъекту ПДн последствия этих отказов.
- При обращении либо получении запроса субъекта ПДн или его законного представителя на доступ к ПДн Оператор предоставляет ему сведения, указанные в п. 8.1. настоящей Политики, в доступной форме, не раскрывая при этом ПДн, относящихся к другим субъектам ПДн, за исключением случаев наличия законного основания.
- Устраняет нарушения законодательства, допущенные при обработке ПДн, в установленном порядке.
- Прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн.
- Совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.
10. Меры, принимаемые для обеспечения безопасности ПДн
- Оператором реализуются следующие необходимые и достаточные меры по защите ПДн:
- Назначение лица, ответственного за организацию обработки ПДн.
- Распределение обязанностей и установление персональной ответственности лиц, осуществляющих обработку ПДн, за нарушение правил обработки ПДн, установленных ВНД и законодательством Российской Федерации.
- Принятие ВНД и иных документов в области обработки и защиты ПДн.
- Обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах.
- Исключение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- Осуществление внутреннего контроля соответствия обработки Федеральному закону 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД.
- Организация работы с документами и материальными носителями, содержащими ПДн.
- Реализация необходимых организационных и технических мер для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
- Назначение ответственного за организацию обработки ПДн в целях координации действий по обеспечению безопасности ПДн.
- Контроль за реализацией требований информационной безопасности при обработке ПДн.
- Иные меры по обеспечению безопасности обрабатываемых ПДн.
11.Контроль за соблюдением законодательства Российской Федерации и ВНД в области ПДн
- Организация и осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и ВНД области ПДн, в том числе требований к защите ПДн, обеспечиваются лицом, ответственным за организацию обработки ПДн.
- Внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД осуществляет лицо, назначенное соответствующим приказом.
- Ответственность за соблюдение требований законодательства Российской Федерации и ВНД в области ПДн, а также за обеспечение конфиденциальности и безопасности ПДн возлагается на лицо, назначенное соответствующим приказом.
12. Заключительные положения
- Настоящая Политика утверждается генеральным директором Оператора и вступает в силу с даты утверждения.
- Настоящая Политика подлежит размещению на официальном сайте Оператора, а также в офисах обработки ПДн.
- Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.
- Ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и ВНД.
- Пересмотр настоящей Политики должен производиться в случае изменения законодательства в области ПДн и специальных нормативных документов по обработке и защите ПДн, изменения бизнес-процессов Оператора, требующих изменения перечня обрабатываемых ПДн, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности информационных технологических процессов, а также в сроки, указанные в законодательстве.