1. Общие положения
1.1 Политика по обработке и защите персональных данных (далее – Политика) определяет основные принципы, цели, порядок, условия и способы обработки персональных данных сотрудников компании, функции компании при обработке персональных данных, права субъектов персональных данных, а также меры по обеспечению безопасности персональных данных.
1.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
1.3 Политика обязательна для исполнения всеми работниками компании, участвующими в процессе обработки персональных данных.
1.4 Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).
2. Цели обработки персональных данных
2.1. Осуществление и выполнение возложенных законодательством Российской Федерации на компанию функций, полномочий и обязанностей, в частности:
- выполнение требований законодательства в сфере труда и налогообложения;
- ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
- выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами компании (далее – субъекты персональных данных).
2.2. В иных законных целях.
3. Порядок и условия обработки персональных данных
3.1. Обработка персональных данных осуществляется:
- с передачей по внутренней сети юридического лица;
- без передачи по сети Интернет;
- смешанная обработка персональных данных.
3.2. Перечень действий, совершаемых с персональными данными:
- сбор,
- систематизация и уточнение данных,
- накопление,
- уничтожение,
- а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
3.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом о персональных данных.
3.4. Обработка персональных данных осуществляется при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
3.5. При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
3.6. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.7. При обработке персональных данных компании принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также прекращение деятельности компании.
3.9. При осуществлении хранения персональных данных компания использует базы данных, находящиеся на территории РФ.
3.10. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
4. Сроки обработки персональных данных
4.1. Сроки обработки персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.
5. Обеспечение безопасности персональных данных
5.1. Обеспечение безопасности персональных данных при их обработке осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
5.2. Безопасность персональных данных обеспечивается:
- выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз;
- ознакомлением работников компании непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
- получением обязательства о неразглашении сведений конфиденциального характера, в том числе персональных данных, со всех работников компании непосредственно участвующих в обработке персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных.
5.3. Компания предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
5.4. Меры защиты, реализуемые компанией при обработке персональных данных, включают:
- назначение ответственного за организацию обработки персональных данных;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- осуществление внутреннего контроля за соблюдением в компании законодательства Российской Федерации при обработке персональных данных.
5.5. Ответственность за нарушение требований законодательства Российской Федерации, Политики компании в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
5.6. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
По запросу субъекта персональных данных (его представителя) компания обязуется сообщить о наличии персональных данных субъекта, а также предоставить возможность ознакомления с ними.
6.2. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации в порядке, предусмотренном законодательством Российской Федерации, а обработка устаревших данных прекращается.
6.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— оператор не вправе осуществлять обработку без согласия субъекта персональные данные на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
— иное не предусмотрено иным соглашением между оператором и субъектом персональные данные.
7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
7.1. Компания может обрабатывать персональные данные следующих субъектов персональных данных:
- субъекты, состоящие в договорных отношениях гражданско-правового характера с компанией;
- работники компании, бывшие работники, кандидаты для приема на работу.
7.2. К персональным данным, обрабатываемым компанией, относятся:
- фамилия, имя, отчество;
- год рождения, месяц рождения, дата рождения;
- место рождения, адрес;
- семейное положение, социальное положение;
- образование, профессия.
7.3. Трансграничная передача персональных данных не осуществляется.
8. Правовые основания обработки персональных данных
8.1. Правовыми основаниями обработки персональных данных являются:
- Конституция РФ;
- Трудовой кодекс РФ;
- Гражданский кодекс РФ;
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15.09.2008 г. № 687.
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ ФНС от 17.11.2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».