ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
общества с ограниченной ответственностью «Магнолия»
(ООО «Магнолия»)
1. Общие положения
1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.2 Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.
1.3 Изменение Политики
1.3.1 Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
· сбор;
· запись;
· систематизацию;
· накопление;
· хранение;
· уточнение (обновление, изменение);
· извлечение;
· использование;
· передачу (распространение, предоставление, доступ);
· обезличивание;
· блокирование;
· удаление;
· уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок и условия обработки и хранение персональных данных
3.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации
3.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации
3.3 Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных
3.4 К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных
3.5 Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
3.6 Не допускается раскрытие третьим лицам и распространение персональных данных без субъекта персональных данных, если иное не предусмотрено Федеральным законом.
3.7 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.8 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
· определяет угрозы безопасности персональных данных при их обработке
· принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
· назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях/информационных системах Оператора;
· создает необходимые условия для работы с персональными данными;
· организует учет документов, содержащих персональные данные;
· организует работу с информационными системами, в которых обрабатываются персональные данные;
· хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
· организует обучение работников Оператора, осуществляющих обработку персональных данных
3.9 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
3.10 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.11 Цели обработки персональных данных:
3.11.1 Обработке подлежат только персональные данные, которые подлежат целям их обработки.
3.11.2 Обработка Оператором персональных данных осуществляется в следующих целях:
· обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
· осуществление своей деятельности в соответствии с уставом Общества;
· ведение кадрового делопроизводства;
· содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
· привлечение и отбор кандидатов на работу у Оператора;
· организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
· заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
· осуществление гражданско-правовых отношений;
· ведение бухгалтерского учета.
3.11.3 Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.12 Категории субъектов персональных данных.
Обрабатываются персональные данные следующих субъектов персональных данных:
- физические лица, состоящие с Обществом в трудовых отношениях;
- физические лица, уволившиеся из Общества;
- физические лица, состоящие с Обществом в гражданско-правовых отношениях.
3.13 Персональные данные, обрабатываемые Оператором:
- данные, полученные при осуществлении трудовых отношений;
- данные, полученные при осуществлении гражданско-правовых отношений.
3.14 Хранение персональных данных.
3.14.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.14.2 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.14.3 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.14.4 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.14.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.15 Уничтожение персональных данных.
3.15.1 Уничтожение документов (носителей), содержащих персональные данные, производится путем дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.15.2 Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
4. Защита персональных данных.
4.1 В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2 Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3 Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4 Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
4.5 Основными мерами защиты персональных данных, используемыми Оператором, являются:
4.5.1 Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
4.5.2 Определение актуальных угроз безопасности персональных данных при их обработки в ИСПД и разработка мер и мероприятий по защите персональных данных.
4.5.3 Разработка политики в отношении обработки персональных данных.
4.5.4 Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
4.5.5 Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их информационными обязанностями.
4.5.6 Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.7 Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.8 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
4.5.9 Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.5.10 Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.11 Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.12 Осуществление внутреннего контроля и аудита.
5. Основные права субъекта персональных данных и обязанности Оператора.
5.1 Основные права субъекта персональных данных
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
· подтверждение факта обработки персональных данных Оператором;
· правовые основания и цели обработки персональных данных;
· цели и применяемые Оператором способы обработки персональных данных;
· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
· сроки обработки персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
· обращение к Оператору и направление ему запросов;
· обжалование действий или бездействия Оператора.
5.2 Обязанности Оператора
Оператор обязан:
· при сборе персональных данных предоставить информацию об обработки персональных данных;
· в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
· при отказе в предоставлении персональных данных субъекту разъясняют последствия такого отказа;
· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
· давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.