ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
г. Екатеринбург
- Общие положения
- Политика в отношении обработки и защиты персональных данных в ООО «Синдикат-7» (далее - Политика) разработана в целях реализации требований законодательства Российской Федерации в области персональных данных.
- Политика разработана с учетом Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных, в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»).
- Политика является внутренним документом ООО «Синдикат-7» (далее – Общество), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных работников Общества и других субъектов персональных данных.
- Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семенную тайну; раскрывает принципы, цели и способы обработки персональных данных, основные категории персональных данных, обрабатываемых Обществом, права субъектов персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке.
- В Политике используются следующие термины и определения:
- информация - сведения (сообщения, данные) независимо от формы их представления;
- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - Общество, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на их раскрытие неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на их раскрытие определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для их уточнения);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители, содержащие персональные данные;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить их принадлежность конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с помощью информационных технологий и технических средств.
- Действие Политики распространяется на все персональные данные, которые Общество может получить от субъектов персональных данных - работников Общества в связи с осуществлением трудовых отношений, других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике, обрабатываемые Обществом с применением средств автоматизации и без применения таких средств.
- Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
- Персональные данные являются конфиденциальной информацией и на них распространяются все требования, установленные локальными нормативными актами Общества к защите конфиденциальной информации.
- Правовые основания обработки персональных данных
Политика обработки персональных данных Общества определятся в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2006 г. № 149-Ф3 «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
- Принципы, цели и способы обработки персональных данных в Обществе
3.1. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- не допускается избыточность персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые Обществом персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Общество обрабатывает персональные данные субъектов исключительно в целях:
- обеспечения соблюдения Конституции, законодательных и нормативных правовых актов Российской Федерации, локальных нормативных актов Общества;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных работников в органы государственной власти, Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, а также иные государственные органы;
- осуществления трудовых отношений с работниками Общества, а именно содействие в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности, контроле количества и качества выполняемой работы, обеспечении сохранности имущества;
- принятия решения о трудоустройстве кандидата на замещение вакантной должности в Обществе;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- заключения и исполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц, достижения общественно значимых целей;
- рассмотрения жалоб и обращений субъектов персональных данных;
- обеспечения функционирования веб-сайта Общества;
- реализации проектов, в том числе с участием третьих лиц, не относящихся к уставной деятельности Общества, а также не связанных с трудовыми правоотношениями, возникающими между Обществом и его работниками;
- в иных законных целях.
3.3. Обработка персональных данных в Обществе осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-коммуникационной сети или без таковой.
- Перечень субъектов, персональные данные которых обрабатываются Обществе
В Обществе обрабатываются персональные данные следующих категорий субъектов:
- работников Общества;
- других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в Политике.
- Перечень персональных данных субъектов, обрабатываемых
в Обществе
5.1. Перечень персональных данных, обрабатываемых в Обществе, определен в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в Политике.
5.2. В связи с осуществлением трудовых отношений в Обществе обрабатываются следующие персональные данные работников:
- фамилия, имя, отчество;
- паспортные данные;
- сведения о трудовом и общем стаже;
- идентификационный номер налогоплательщика;
- адреса места жительства и регистрации;
- номер домашнего и/или сотового телефона;
- адрес личной электронной почты;
- фотография;
- иную, не указанную выше информацию, содержащуюся в делах учета и трудовых книжках работников.
5.3. С целью осуществления уставной деятельности в Обществе обрабатываются персональные данные субъектов, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике:
- фамилия, имя, отчество;
- телефонный номер (мобильный);
- адрес личной электронной почты (e-mail);
- иная, не указанная выше информация, необходимая Обществу для исполнения целей обработки персональных данных, указанных в Политике.
5.4. С целью реализации проектов, в том числе с участием третьих лиц, не относящихся к уставной деятельности Общества, а также не связанных с трудовыми правоотношениями, возникающими между Обществом и его работниками, Обществом обрабатываются следующие персональные данные субъектов персональных данных:
- фамилия, имя, отчество;
- телефонный номер (мобильный);
- адреса личной электронной почты (e-mail).
Общество не осуществляет трансграничную передачу персональных данных.
- Специальные категории персональных данных
6.1. Обработка в Обществе специальных категорий персональных данных не осуществляется.
- Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
7.1. Персональные данные могут распространяться неопределенному кругу лиц только при наличии согласия субъекта персональных данных в письменной форме, полученного в соответствии с положениями части 4 статьи 9 и статьи 10.1 Федерального закона «О персональных данных».
7.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на их обработку. Общество обязано обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой из категорий, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных для распространения, не следует, что субъект согласился с их распространением, такие персональные данные обрабатываются без права распространения.
7.3. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
- Общедоступные источники персональных данных
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов.
- Перечень действий с персональными данными и способы их обработки
9.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных.
9.2. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные своих работников, других субъектов персональных данных, обработка персональных данных которых предназначена для реализации целей обработки, указанных в настоящей Политике, третьей стороне без письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
9.3. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта без его согласия могут быть переданы в органы и организации в случаях, установленных законодательством Российской Федерации.
- Права субъектов персональных данных
10.1. Субъект персональных данных в соответствии со статьей 14 Федерального закона «О персональных данных» имеет право на получение сведений, касающихся обработки его персональных данных Обществом.
Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
10.3. Для реализации своих прав и защиты законных интересов субъект персональных данных может в порядке, установленном статьей 14 Федерального закона «О персональных данных», обратиться с соответствующим запросом. Для выполнения таких запросов представителю оператора может потребоваться установить личность субъекта персональных данных и запросить у него дополнительную информацию.
10.4. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных должностных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным способом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия (бездействие) Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
- Меры по обеспечению безопасности персональных данных при их обработке
11.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий в целях хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
В Обществе при обработке персональных данных принимаются все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с законодательными актами Российской Федерации и локальными нормативными актами Общества, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Общества.
11.3. Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами:
- законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
- системность: обработка персональных данных осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
- комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества и других имеющихся в Обществе систем и средств защиты;
- непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики их обработки в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
- минимизация прав доступа: доступ к персональным данным предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых персональных данных;
- открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества не дают возможности преодоления имеющихся в Обществе систем защиты нарушителями безопасности персональных данных;
- научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
- Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Персональная ответственность за соблюдение требований законодательства Российской Федерации в области персональных данных, принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных нормативных актов Общества, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителя Общества.
Иные права и обязанности Общества как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
Контактная информация
ООО «Синдикат-7»
Тел.
e-mail:
Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Территориальный орган: Управление Роскомнадзора по Уральскому Федеральному округу.
Адрес: 620000, г. Екатеринбург, проспект Ленина, д. 39, а/я 337.
Телефон: (343) 227-24-40. Факс: (343) 227-24-52.
E-mail: rsockanc66@rkn.gov.ru сайт: https://66.rkn.gov.ru/