8 800 550 24 56

Политика в отношении обработки персональных данных

1. Термины и определения

 

  • В настоящей Политике в отношении обработки персональных данных используются следующие термины:
    • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
    • Близкие родственники - супруг, супруга, родители, дети, усыновители, усыновленные, родные братья и родные сестры, дедушка, бабушка, внуки.
    • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
    • Внутренний нормативный документ – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, создаваемая Оператором и используемая в его деятельности.
    • Доступ к персональным данным – возможность получения персональных данных и их использование.
    • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
    • Информация – сведения (сообщения, данные) независимо от формы их представления.
    • Использование персональных данных – действия (операции) с персональными данными, совершаемые уполномоченным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
    • Конфиденциальная информация (сведения конфиденциального характера) – сведения, содержащие информацию, составляющую коммерческую тайну.
    • Конфиденциальность персональных данных – запрет Оператору и иным лицам, получившим доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
    • Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.
    • Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
    • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
    • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ООО «ПКО «Монолит»).
    • Персональные данные – любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (субъекту персональных данных).
    • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
    • Работники – субъекты трудового права, физические лица, работающие по трудовому договору у работодателя и получающие за это заработную плату.
    • Субъект персональных данных – лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
    • Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
    • Угроза информационной безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, а также иные несанкционированные действия при их обработке в информационной системе персональных данных или без использования средств автоматизации.
    • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
    • Файлы «cookie» – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя.

Используемые сокращения.

ВНД – Внутренний нормативный документ.

ПДн – Персональные данные.

Политика – Политика Оператора в отношении обработки персональных данных (ПДн).

 

2. Общие положения

 

  • Настоящая Политика определяет принципы, условия и способы обработки ПДн, в том числе защиты ПДн в деятельности ИП.
  • Настоящая Политика разработана в целях обеспечения необходимого и достаточного уровня информационной безопасности ПДн и процессов, связанных с их обработкой, а также для обеспечения защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  • Обработка и обеспечение безопасности ПДн осуществляется Оператором в соответствии с законодательством Российской Федерации, ВНД Оператора, в том числе требованиями к защите ПДн.
  • ПДн являются конфиденциальной, строго охраняемой информацией. На них распространяются все требования, предъявляемые законодательством к защите конфиденциальной информации.
  • Законодательные и иные нормативные правовые акты Российской Федерации, ВНД, в соответствии с которыми определяется Политика в отношении обработки:
    • Конституция Российской Федерации.
    • Трудовой кодекс Российской Федерации.
    • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
    • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
    • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
    • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
    • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
    • Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
    • Иные нормативные правовые акты, нормативные акты, правовые по отдельным вопросам, касающимся обработки ПДн (в том числе изданные государственными органами, органами местного самоуправления в пределах своих полномочий).
    • В целях реализации положений Политики Оператором разрабатываются соответствующие ВНД и иные документы, в том числе:
      • Устав.
      • Приказ о назначении лица, ответственного за организацию обработки ПДн.
      • Перечень работников, допущенных к обработке ПДн.
      • Иные ВНД и документы, регламентирующие вопросы обработки ПДн.
    • Требования настоящей Политики распространяются на всех работников Оператора.

 

3. Цели обработки ПДн

 

  • Обработка ПДн Оператором осуществляется в следующих целях:
    • Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, ВНД Оператора.
    • Осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.
    • Регулирование отношений, возникающих в рамках договора о негосударственном пенсионном обеспечении, добровольном медицинском страховании, медицинском обслуживании и других видов социального обеспечения.
    • Исчисление взносов на обязательное социальное и пенсионное страхование.
    • Защита жизни, здоровья или иных жизненно важных интересов субъектов ПДн.
    • Осуществление деятельности, предусмотренной действующим законодательством Российской Федерации.
    • Подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и ВНД Оператора.
    • Организация кадрового учета Оператора, обеспечение соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании различного вида льготами, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральными законами, а также ВНД Оператора.
    • Защита прав и интересов субъектов ПДн относительно их ПДн, обрабатываемых Оператором.
    • Обезличенные данные пользователей, собираемые с помощью сервисов интернет- статистики, служат для сбора информации о действиях пользователей на сайте, улучшения качества сайта и его содержания.
    • В иных законных целях.

 

4. Принципы и условия обработки ПДн

 

  • Оператором соблюдаются следующие принципы обработки ПДн:
    • Обработка ПДн осуществляется в соответствии с конкретными заранее определенными и законными целями и производится только до момента достижения этих целей.
    • Содержание и объем ПДн не противоречат заявленным целям, не являются избыточными по отношению к ним.
    • При обработке ПДн обеспечиваются точность, достаточность, актуальность ПДн по отношению к целям обработки за счет применения необходимых мер по удалению или уточнению неполных, или неточных данных.
    • Объединение баз данных, содержащих ПДн, цели обработки которых не совместимы между собой, недопустимо.
    • Хранение ПДн осуществляется в форме, позволяющей идентифицировать субъект ПДн, и ограничивается установленными целями обработки ПДн.
    • По достижении целей обработки или в случае утраты необходимости их достижения ПДн подлежат уничтожению в соответствии с законодательством.
  • Соблюдаются следующие условия обработки ПДн:
    • Обработка ПДн осуществляется только с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством.
    • Оператор несет ответственность перед субъектом ПДн за обработку ПДн, в том числе выполняемую третьим лицом на основании договора между Оператором и таким третьим лицом.
    • Работники Оператора, имеющие доступ к ПДн, не раскрывают ПДн третьим лицам и не распространяют их без согласия субъекта ПДн, если иное не предусмотрено законодательством или договором между Оператором и субъектом ПДн.
    • Оператор обрабатывает обезличенные данные о пользователе в случае, если это разрешено в настройках браузера пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

 

5. Перечень субъектов, ПДн которых обрабатываются Оператором

 

  • Оператором обрабатываются ПДн следующих категорий субъектов:
    • ПДн работника Оператора, уволенного работника, кандидата на вакантные должности — информация, необходимая Оператору в связи с трудовыми отношениями и касающиеся конкретного работника.
    • ПДн близких родственников работников Оператора – информация, необходимая Оператору в случаях и целях, предусмотренных действующим законодательством.
    • ПДн Клиента (потенциального Клиента, партнера, контрагента), а также ПДн руководителя, участника (акционера), бенефициарного владельца или работника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Оператора — информация, необходимая Оператору для выполнения своих обязательств и осуществления прав в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации.

 

6. Перечень ПДн, обрабатываемых Оператором

 

  • Перечень ПДн, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и ВНД Оператора с учетом целей обработки ПДн, указанных в разделе 4 настоящей Политики.
  • Оператор не осуществляет обработку биометрических ПДн.
  • Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не осуществляется.
  • Также на официальном сайте Оператора происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie» с помощью сервисов интернет-статистики (Яндекс. Метрика, Google Analytics и др.)

 

7. Способы обработки ПДн

 

  • Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
  • Обработка ПДн осуществляется следующими способами:
    • Неавтоматизированная обработка ПДн.
    • Автоматизированная обработка ПДн с  передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
    • Смешанная обработка ПДн.

 

8. Права субъекта ПДн

 

  • В установленном законодательством РФ порядке субъект ПДн вправе получать доступ к следующим сведениям:
    • Подтверждение факта обработки ПДн.
    • Правовые основания и цели обработки ПДн.

 

  • Цели и применяемые способы обработки ПДн.
  • Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона.
  • Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом.
  • Сроки обработки ПДн, в том числе сроки их хранения.
  • Порядок реализации субъектом ПДн прав, предусмотренных Федеральным законом

№152-ФЗ «О персональных данных».

  • Информация об осуществленной или о предполагаемой трансграничной передаче ПДн.
  • Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
  • Информация о способах исполнения Оператором обязанностей, установленных ст.18.1 Федерального закона № 152-ФЗ.
  • Иные сведения, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» или другими Федеральными законами.
  • Субъект ПДн имеет право на:
    • Принятие предусмотренных законом мер по защите своих прав.
    • Уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными по отношению к заявленной цели обработки.
    • Получение сведений, указанных в п. 8.1. настоящей Политики, в полном объеме, а также ознакомление с обрабатываемыми ПДн при направлении запроса или обращения Оператору.
    • Повторное обращение или запрос на предоставление информации об обрабатываемых ПДн в случае, если они не были предоставлены в полном объеме относительно первоначального запроса.
    • Обжалование действия или бездействия Оператора в уполномоченный орган в случае осуществления Оператором обработки ПДн субъекта с нарушением требований законодательства, а также прав и свобод субъекта ПДн, в судебном порядке.
    • Компенсацию морального вреда независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков и возмещение убытков в судебном порядке.
    • Отзыв своего согласия на обработку ПДн.

 

9. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»

 

  • Оператор при осуществлении обработки ПДн:
    • Назначает лицо, ответственное за организацию обработки ПДн, которое доводит до работников положения законодательства Российской Федерации и ВНД в области ПДн и осуществляет внутренний контроль за их соблюдением.
    • Применяет правовые, организационные и технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления ПДн, а также от иных неправомерных действий в отношении ПДн.
    • Издает ВНД, определяющие политику и вопросы обработки и защиты ПДн, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
    • Проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства, соотносит указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 07.2006 г. № 152-ФЗ «О персональных данных».
    • Осуществляет ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и ВНД в области ПДн, в том числе требованиями к защите ПДн, и проводит обучение указанных работников.
    • Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
    • Осуществляет сбор ПДн субъекта с соблюдением требований, предусмотренных ст.18 Федерального закона №152-ФЗ «О персональных данных» с предоставлением субъекту ПДн информации, указанной в п. 1. настоящей Политики, а в случае получения ПДн не от субъекта ПДн – информации в соответствии с ч.4 ст.18 Федерального закона №152-ФЗ «О персональных данных», а в случае отказа от предоставления ПДн, и отказа дать согласие на их обработку, которые должны быть предоставлены на основании Федерального закона, – разъясняет субъекту ПДн последствия этих отказов.
    • При обращении либо получении запроса субъекта ПДн или его законного представителя на доступ к ПДн Оператор предоставляет ему сведения, указанные в п. 8.1. настоящей Политики, в доступной форме, не раскрывая при этом ПДн, относящихся к другим субъектам ПДн, за исключением случаев наличия законного основания.

 

  • Устраняет нарушения  законодательства,  допущенные при  обработке  ПДн,  в установленном порядке.
  • Прекращает обработку   и уничтожает   ПДн   в случаях,   предусмотренных законодательством Российской Федерации в области ПДн.
  • Совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

 

10. Меры, принимаемые для обеспечения безопасности ПДн

 

  • Оператором реализуются следующие необходимые и достаточные меры по защите ПДн:
    • Назначение лица, ответственного за организацию обработки ПДн.
    • Распределение обязанностей и установление персональной ответственности лиц, осуществляющих обработку ПДн, за нарушение правил обработки ПДн, установленных ВНД и законодательством Российской Федерации.
    • Принятие ВНД и иных документов в области обработки и защиты ПДн.
    • Обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах.
    • Исключение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
    • Осуществление внутреннего контроля соответствия обработки Федеральному закону 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД.
    • Организация работы с документами и материальными носителями, содержащими ПДн.
    • Реализация необходимых организационных и технических мер для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
    • Назначение ответственного за организацию обработки ПДн в целях координации действий по обеспечению безопасности ПДн.
    • Контроль за реализацией требований информационной безопасности при обработке ПДн.
    • Иные меры по обеспечению безопасности обрабатываемых ПДн.

 

11.Контроль за соблюдением законодательства Российской Федерации и ВНД в области ПДн

 

  • Организация и осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и ВНД области ПДн, в том числе требований к защите ПДн, обеспечиваются лицом, ответственным за организацию обработки ПДн.
  • Внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ВНД осуществляет лицо, назначенное соответствующим приказом.
  • Ответственность за соблюдение требований законодательства Российской Федерации и ВНД в области ПДн, а также за обеспечение конфиденциальности и безопасности ПДн возлагается на лицо, назначенное соответствующим приказом.

 

12. Заключительные положения

 

  • Настоящая Политика утверждается генеральным директором Оператора и вступает в силу с даты утверждения.
  • Настоящая Политика подлежит размещению на официальном сайте Оператора, а также в офисах обработки ПДн.
  • Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.
  • Ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и ВНД.
  • Пересмотр настоящей Политики должен производиться в случае изменения законодательства в области ПДн и специальных нормативных документов по обработке и защите ПДн, изменения бизнес-процессов Оператора, требующих изменения перечня обрабатываемых ПДн, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности информационных технологических процессов, а также в сроки, указанные в законодательстве.