Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика действует в отношении всей информации, которую ООО «Компания Альфа» может получить на законном основании о субъекте персональных данных в том числе, во время использования сайта ООО «Компания Альфа», программ и продуктов сайта.
1.2. В настоящей Политике используются следующие термины:
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Субъект персональных данных – физическое лицо определенное или определяемое с помощью информации, относящаяся к нему прямо или косвенно;
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.2. Основные права и обязанности Оператора и субъекта персональных данных.
1.3.1. Обязанности Оператора:
- при сборе персональных данных предоставить информацию об обработке персональных данных;
- в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данным, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
1.3.2. Права субъекта персональных данных:
Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:
- подтверждение факта обработки персональных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- обращение к оператору и направление ему запросов;
- обжалование действий или бездействия оператора;
- отзыв согласия на обработку персональных данных.
2. Цели сбора персональных данных
2.1. Обработка Оператором персональных данных осуществляется в следующих целях:
- обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных;
- осуществление своей деятельности в соответствии с уставом ООО «Компания Альфа»;
- ведение кадрового делопроизводства;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
- привлечение и отбор кандидатов на работу у оператора;
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- ведение бухгалтерского учета;
- осуществление пропускного режима;
- размещение информации о сотрудниках на официальном сайте http://bryansk.alfascan.ru.
3. Правовые основания обработки персональных данных
3.3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. А именно:
- Конституции Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон «Об обязательном пенсионном страховании в Российской Федерации» от 15.12.2001 N 167-ФЗ;
- Федеральный закон «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» от 24.07.1998 N 125-ФЗ;
- Устав оператора;
- Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Договоры, заключаемые между оператором и субъектом персональных данных;
- Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);
- Согласие на распространение персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
4.2. К категориям субъектов персональных данных относятся:
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- контрагенты оператора (физические лица);
- представители/работники контрагентов ООО «Компания Альфа» (юридических лиц);
- лица, не относящие к перечисленным выше и проходящие на территорию оператора.
4.3. Оператор обрабатывает следующие персональные данные:
- общие;
- биометрические;
- специальные;
- иные
4.4. К перечню данных, обрабатываемых оператором относятся:
- фамилия, имя, отчество;
- дата и место рождения;
- гражданство;
- сведения о знании иностранных языков;
- образование (наименование учебного заведения, год окончания, документ об образовании, квалификация специальность);
- профессия;
- стаж работы;
- семейное положение;
- состав семьи (степень родства (ближайшие родственники, Ф.И.О. родственников, год их рождения);
- сведения о воинском учёте;
- место регистрации;
- информация о месте (местах) работы;
- контактный телефон;
- адрес электронной почты;
- сведения об аттестации, повышении квалификации, профессиональной переподготовке;
- паспортные данные (номер, дата выдачи, кем выдана);
- расовая или национальная принадлежность;
- состояние здоровья;
- фотографии;
- группа крови;
- генетическая информация;
- сведения об имеющихся наградах (поощрениях), почётных званиях;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения об идентификационном номере налогоплательщика;
- расчетные счета:
- водительское удостоверение;
- СНИЛС.
5. Порядок, условия обработки и хранения персональных данных
5.1. Обработка персональных данных осуществляется оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы оператора;
- использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе.
5.11. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.12. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.12. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
5.13. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах.
5.14. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.15. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.16. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.17. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
6.3. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
7. Защита персональных данных
7.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством.
7.2. Основными мерами защиты персональных данных, используемыми оператором, являются:
7.2.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
7.2.2. Издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
7.2.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.
7.2.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
7.2.5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, действующим законодательством.
7.2.6. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.3. Оператор опубликовал на сайте http://bryansk.alfascan.ru документ, определяющий его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
7.4. По запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан представить документы и локальные акты и (или) иным образом подтвердить принятие названных мер.
7.5. Оператор при обработке персональных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.6. Основными мерами обеспечения безопасности персональных данных, используемыми оператором, являются:
7.6.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
7.6.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.;
7.6.3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
7.6.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
7.6.5. Учет машинных носителей персональных данных.
7.6.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
7.6.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.6.8. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
7.6.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.7. Оператор осуществляет взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.