Политика ИП в отношении обработки персональных данных
I. Назначение и область действия документа
- Политика ИП (далее по тексту - Компания) в отношении обработки персональных данных» (далее по тексту - Политика) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в Компании, а также сведения о реализуемых требованиях к защите персональных данных.
- Компания обеспечивает безопасность персональных данных при их обработке.
- Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений Компании.
- Действие Политики распространяется на все персональные данные, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.
- К настоящему документу имеет неограниченный доступ любое заинтересованное лицо. Политика также подлежит опубликованию на сайте Компании www.sgurkin.ru.
- Обработка и обеспечение безопасности персональных данных осуществляется в соответствии с требованиями Конституции РФ, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаев и особенностей обработки персональных данных в соответствии с федеральными законами РФ, руководящими и методическими документами ФСТЭК России и ФСБ России.
II. Основные понятия, используемые в документе:
1. Субъекты персональных данных:
- работники Компании;
- кандидаты на замещение вакантных должностей;
- участники Компании – физические лица;
- физические лица, являющиеся стороной, инициатором заключения, выгодоприобретателем, поручителем, уполномоченным представителем по заключенным и/или заключаемым договорам с Компанией;
- зарегистрированные пользователи сайта Компании.
2. Персональные данные - любая информация, относящаяся к субъекту персональных данных.
3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение персональных данных.
4. Безопасность персональных данных – состояние защищенности персональных данных, выражающееся в обеспечении Компанией их конфиденциальности, целостности и доступности при обработке.
III. Принципы и условия обработки персональных данных 1. Принципы обработки персональных данных:
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных соответствуют заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных либо не дольше срока, установленного федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом
2. Условия обработки персональных данных:
Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой и законодательством РФ и допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- ВНИМАНИЕ: согласие на обработку персональных данных лица, не достигшего 14-летнего возраста, должен давать законный представитель этого лица. Обработка персональных данных несовершеннолетнего в возрасте от 14 до 18 лет допускается только с его собственного разрешения при наличии письменного согласия законного представителя;
- обработка персональных данных необходима для исполнения или заключения договора, стороной либо инициатором заключения которого, либо выгодоприобретателем или поручителем по которому является (будет являться) субъект персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для исполнения функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных ФЗ №210-ФЗот 27.07.2010г.;
- осуществляется обработка персональных данных, сделанных общедоступными самим субъектом персональных данных;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;
- в иных случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
3. Компания вправе поручить обработку персональных данных третьему лицу на основании заключаемого с этим лицом договора. В каждом таком случае Компания определяет конкретный перечень действий с персональными данными, которые будут совершаться третьим лицом, и цели обработки. Обязательным условием обработки персональных данных третьим лицом является указание в договоре с ним требований к защите обрабатываемых персональных данных, установление его обязанности соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и Федеральным законом «О персональных данных», обеспечивать конфиденциальность персональных данных и их безопасность при обработке.
4. В случаях, установленных законодательством Российской Федерации, Компания обязано предоставить документы и иную информацию, в том числе содержащую персональные данные, по письменным запросам уполномоченных органов и лиц.
5. В Компании могут создаваться общедоступные источники персональных данных работников, в которые с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
IV. Цели обработки персональных данных Персональные данные обрабатываются Компанией в целях оформления и исполнения трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, персонифицированного учета, в целях и по основаниям, указанных ч.2 ст.22 Федерального закона №152-ФЗ, ст. 86 Трудового кодекса РФ; в целях организации и проведения Компанией маркетинговых, рекламных акций, исследований, опросов и иных мероприятий; исполнения Компанией обязательств в рамках договоров, заключенных или заключаемых Компанией (в т.ч. на стадии предложений и переговоров), для предоставления доступа к ресурсам сайта Компании и работе пользователя с сервисами сайта Компании, а также в иных целях, если действия Компании не противоречат действующему законодательству.
V. Права субъекта персональных данных Субъект персональных данных имеет право:
1. На получение информации, касающейся обработки его персональных данных, в том числе:
- наименование и место нахождения Компании;
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Компанией способы обработки;
- сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных»или другими федеральными законами.
- ВНИМАНИЕ: информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю Компанией при личном обращении в офис Компании по адресу: , либо при получении письменного запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Повторное обращение субъекта за информацией, касающейся обработки его персональных данных, возможна не ранее чем через 30 дней после первоначального обращения (если более короткий срок не установлен федеральным законом или договором с субъектом персональных данных), за исключением случаев, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены субъекту для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Компания может отказать в выполнении повторного запроса, не соответствующего условиям, предусмотренным в настоящем пункте. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
2. Требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3. Требовать немедленного прекращения обработки персональных данных в случаях использования их в целях продвижения товаров, работ и услуг без предварительного согласия субъекта персональных данных.
4. Обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев наличия согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами. При получении письменного согласия в этом случае Компания обязана разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. При представлении возражения субъекта персональных данных Компания обязано в течение 30 дней со дня его получения уведомить субъекта персональных данных о результатах рассмотрения возражения.
VI. Порядок обработки персональных данных 1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы персональные данные обособлялись от иной информации. Для каждой категории персональных данных используется отдельный материальный носитель. Компанией установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Указанные лица информируются о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами. Компания обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:
- Компания проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование;
- Компания производит резервное копирование данных с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Компания осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных
VII. Сведения о реализуемых требованиях к защите персональных данных
Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам относятся:
- назначение лица, ответственного за обработку персональных данных и лица, ответственного за обеспечение безопасности персональных данных, подписание соглашения о неразглашении с указанными лицами;
- утверждение руководителем Компании документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, настоящей Политикой, Положением по обработке и защите персональных данных, действующем в Компании и иными локальными актами Компании по вопросам обработки персональных данных;
- обеспечение сохранения персональных данных граждан РФ на территории РФ;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ о персональных данных, требованиям к защите персональных данных, настоящей Политике и локальным актам Компании;
- оценка возможного вреда и соизмерение с ним характера принимаемых мер по его предотвращению;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В зависимости от уровня защищенности персональных данных, определяемого в соответствии с Постановлением Правительства РФ от 01.11.2012г. № 1119, с учетом актуальных угроз безопасности и применяемых информационных технологий, такими мерами являются:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных, возможность восстановления информационной системы и содержащихся в ней персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Состав и содержание мер, необходимых для обеспечения каждого из уровней защищенности персональных данных, соответствует требованиям, установленным Приказом ФСТЭК России от 18.02.2013г. № 21:
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных, обеспечение сохранности носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.