ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.2. Настоящая Политика разработана в соответствии с:
−
Федеральным законом РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;−
Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»(далее – Закон о персональных данных);
−
Федеральным законом РФ от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»,
а также с учетом положений Генерального регламента по защите данных в странах Европейского союза (GDPR, General Data Protection Regulation), утвержденных 27.04.2016г. 1.3. Настоящая Политика распространяется на технологические и бизнес-процессы Компании, связанные с обработкой ПДн Субъектов, и обязательна для применения всеми работниками Компании, осуществляющими обработку ПДн.1.5. Для целей настоящей Политики используются следующие термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.2.2. Компания обрабатывает персональные данные следующих Субъектов:
− клиенты Компании;
− представители клиентов Компании;
− лица, приобретшие или намеревающиеся приобрести услуги Компании, услуги третьих лиц при посредничестве Компании или не имеющие с Компанией договорных отношений при условии, что их ПДн обрабатываются автоматизированными системами Компании в связи с оказанием Компанией услуг своим клиентам, в соответствии с законодательством РФ о персональных данных;соответствии с законодательством РФ о персональных данных;
− лица, ПДн которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством РФ о персональных данных;− лица, входящие в органы управления Компании;
− лица, являющиеся соискателями на вакантные должности в Компании;
− иные лица, выразившие согласие на обработку Компанией их ПДн или физические лица, обработка ПДн которых необходима Компании для осуществления и выполнения функций, полномочий и обязанностей, возложенных на Компания законодательством Российской Федерации.2.3. Категории и состав ПДн
2.3.1. Специальные категории ПДн3.1. Цели обработки ПДн
3.1.1. Исполнение условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством:− ведения кадрового делопроизводства;
− содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», иными федеральными законами и подзаконными актами, регулирующими правоотношения работника и работодателя, а также Уставом и внутренними документами Компании;− проведение акций, опросов, исследований (при наличии соответствующего согласия Субъектов);
− формирование статистической отчетности;
− осуществление административно-хозяйственной деятельности.
4. Принципы и условия обработки персональных данных
4.1. Компания осуществляет обработку ПДн на основе принципов:
− законности и справедливости целей и способов обработки ПДн;
− соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Компании;
− соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;− уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении.
4.2. Обработка ПДн осуществляется на основании условий, определенных законодательством Российской Федерации.− в иных случаях, предусмотренных законодательством Российской Федерации.
4.2.5. В случае предоставления ПДн уполномоченным представителем Субъекта либо заключения договора в пользу третьего лица, ПДн которого предоставляются лицом, заключающим указанный договор, предполагается, что представитель или лицо, заключающее договор, предоставляют данные Субъекта с его согласия, о чем свидетельствует факт наличия его ПДн у указанных лиц.
5.2. Формы обработки Компанией персональных данных:
5.2.1. С использованием средств автоматизации − средств вычислительной техники, информационно-вычислительных комплексов и компьютерных сетей, средств и систем передачи, приема и обработки ПДн, программных средств (операционные системы, системы управления базами данных и т.п.).5.4. Мероприятия по защите ПДн включают в себя комплекс правовых,
организационных и технических мер, реализуемых подразделением ответственным за обеспечение информационной безопасности.5.5. Предоставление доступа к обработке персональных данных
5.5.1. Работники Компании, осуществляющие обработку ПДн, имеют доступ к персональным данным Субъектов в рамках исполнения ими должностных обязанностей.− работников;
− клиентов;
− посетителей;
− работников, клиентов, а также посетителей.− знать и неукоснительно выполнять требования настоящей Политики;
− обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
− не разглашать ПДн, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности; пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) ПДн;− подразделение по работе с персоналом (при трудоустройстве работника);
− руководитель подразделения Компании, в котором работник осуществляет обработку ПДн.5.7. Условиями прекращения обработки ПДн являются:
− достижение целей такой обработки;
− истечение срока, предусмотренного законом, договором, или согласием Субъекта на обработку его ПДн; − ликвидация Компании.
− цели обработки ПДн;
− перечень действий (операций), которые будут совершаться третьим лицом, при обработке ПДн;6.2.
Компания осуществляет передачу ПДн государственным органам и должностным6.4. Компания предупреждает лиц, получающих ПДн Субъектов, об обязанности соблюдения требования конфиденциальности, а также использования только в целях, для которых они сообщены, и требует обязательности соблюдения этих правил.
7.1.1. Под хранением персональных данных понимается существование записей:
− в информационных системах Компании (ИСПДн);
− на материальных носителях (в бумажном виде).
7.1.2. В Компании создаются и хранятся документы, содержащие сведения о Субъектах. Требования к использованию в Компании данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».7.1.5. Компания, руководствуясь положениями Федерального закона РФ от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документа, может перевести ПДн на архивное хранение.
8.2. Порядок блокировки и разблокировки персональных данных:
8.2.1. Блокировка ПДн Субъекта осуществляется Компанией в случаях:− получения письменного заявления Субъекта или его законного представителя;
− выявления недостоверности ПДн,
при условии, что такое действие не нарушает права и законные интересы Субъекта или третьих лиц.− запрет использования ПДн в массовых рассылках (sms, e-mail, почта);
− изъятие бумажных документов, относящихся к Субъекту и содержащих его ПДн из внутреннего документооборота Компании и запрет их использования.8.3. Порядок обезличивания и уничтожения ПДн
8.3.1. Операции по обезличиванию и уничтожению ПДн являются необратимыми.− в ИСПДн Компании – производит обезличивание ПДн;
− бумажные носители документов – производит уничтожение (при помощи технических средств), исключающее возможность полного или частичного восстановления данных носителей.8.3.7. Факт уничтожения носителей ПДн актируется руководителем подразделения, осуществляющего их обработку, при согласовании Ответственного сотрудника ПДн.
9.4. Любые запросы и обращения по вопросам обработки Компанией персональных данных Субъектов, полученные подразделениями Компании, подлежат передаче Ответственному сотруднику ПДн для контроля их обработки.
Законом о персональных данных или другими федеральными законами);
− требовать внесение уточнений по своим ПДн на основании запроса об уточнении персональных данных, а также их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные российским законодательством меры по защите своих прав;− требовать отзыв согласия на обработку персональных данных;
− требовать извещения лиц, которым ранее были сообщены неверные или неполные− осуществлять внутренний контроль за соблюдением настоящей Политики;
− проводить внутренние проверки по инцидентам безопасности ПДн;
− отстаивать свои интересы в суде;
− отказать Субъекту в предоставлении ПДн в случаях, предусмотренных Законом о персональных данных:1) ПДн сделаны общедоступными Субъектом или получены из общедоступного источника;
2) ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;
3) Субъект уведомлен об осуществлении обработки его ПДн соответствующим оператором;
4) оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта;
5) предоставление сведений Субъекту нарушает права и законные интересы третьих лиц.источник получения ПДн.
− назначение лица, ответственного за организацию обработки ПДн;
− осуществление внутреннего контроля соответствия обработки ПДн Закону о персональных данных;− определение угроз безопасности ПДн при их обработке;
− разработка локальных документов по вопросам обработки ПДн;
− осуществление оценки эффективности принимаемых мер по обеспечению− постоянный контроль за обеспечением уровня защищенности ПДн.
11.3. Компания осуществляет защиту обрабатываемых ПДн за свой счёт в порядке, установленном соответствующим законодательством РФ и внутренними организационными документами.− учет лиц, допущенных к обработке ПДн;
− издание нормативно-методических документов, регулирующих обработку и защиту ПДн (в частности разработка на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты, предусмотренных для соответствующего классаинформационных систем; описание системы защиты ПДн);
− установка и ввод в эксплуатацию средств защиты информации, а также контроль соблюдения условий их использования, в соответствии с эксплуатационной и технической документацией;
12. Комплаенс-контроль обработки и защиты персональных данных
12.1. Комплаенс-контроль обработки ПДн в Компании осуществляется в целях:
− совершенствования процесса обработки и обеспечения безопасности ПДн;
− мониторинга и оценки фактического состояния защищенности ПДн;
− своевременного реагирования на нарушения установленного порядка их обработки.
12.2. Мероприятия комплаенс-контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:− оценки компетентности работников, задействованных в обработке ПДн;
− принятия корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств информационных систем, в которых обрабатываются ПДн;− настоящей Политикой;
− прочими нормативными правовыми актами и внутренними документами Компании, регламентирующими обработку ПДн;12.5.2. Проведение проверок состояния защищенности ПДн, обрабатываемых в информационных системах, включая проверку доступов пользователей к ПДн, выполнение требований по защите ИСПДн, корректности работы системы защиты ПДн.
12.5.3. Проведение проверок состояния защищенности ПДн, обрабатываемых без использования средств автоматизации, и условий хранения материальных носителей ПДн. 12.6. Нарушение порядка обработки ПДн является инцидентом ИБ, фиксируется и расследуется в установленном Компанией порядке.12.7. Восстановление ПДн и процесса их обработки, нарушенных по причине нештатных ситуаций, регламентируется внутренним порядком обеспечения непрерывности и восстановления деятельности.
14. Порядок пересмотра
− планово – ежегодно;
− внепланово – при необходимости внесения изменений для приведения настоящей Политики в соответствие действующему российскому законодательству в области обработки и защиты ПДн.