Политика Общества с ограниченной ответственностью «Системные решения» в области конфиденциальности и обработки персональных данных
1 Общие положения и область применения
1.2 Настоящая Политика разработана во исполнение и в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), иных федеральных законов, регулирующих вопросы обработки ПДн, а также принятых в исполнение подзаконных нормативных правовых актов РФ.
1.3 Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Компанией ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями действующего законодательства РФ.
1.4 Политика обязательна для исполнения всеми работниками Компании, участвующими в процессе обработки ПДн.
1.5 Политика распространяется на отношения в области обработки персональных данных, возникшие у Компании как до, так и после утверждения настоящей Политики.
1.6 Политика публикуется на корпоративном сайте Компании в информационно-телекоммуникационной сети «Интернет» по адресу: https://syssol.ru.
2 Нормативные ссылки
|
от 12.12.1993 |
Конституция РФ |
|
от 30.11.1994 № 51-ФЗ от 26.01.1996 № 14-ФЗ от 26.11.2001 № 146-ФЗ от 18.12.2006 № 230-ФЗ |
Гражданский кодекс РФ |
|
от 30.12.2001 № 197-ФЗ |
Трудовой кодекс РФ |
|
от 31.07.1998 N 146-ФЗ |
Налоговый кодекс РФ |
|
от 19.12.2005 № 160-ФЗ |
Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» |
|
от 27.07.2007 № 152-ФЗ |
Федеральный закон «О персональных данных» |
|
от 01.04.1996 № 27-ФЗ |
Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» |
|
от 22.10.2004 № 125-ФЗ |
Федеральный закон «Об архивном деле в РФ» |
|
от 21.07.1997 №116-ФЗ |
Федеральный закон «О промышленной безопасности опасных производственных объектов» |
|
от 21.07.1993 № 5485-1 |
Закон РФ «О государственной тайне» |
|
от 31.05.1996 № 61-ФЗ |
Федеральный закон «Об обороне» |
|
от 12.02.1998 № 28-ФЗ |
Федеральный закон «О гражданской обороне» |
|
от 01.11.2012 №1119 |
Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
|
от 06.02.2010 № 63 |
Постановление Правительства РФ «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне» |
|
от 27.11.2006 № 719 |
Постановление Правительства РФ «Об утверждении Положения о воинском учете» |
|
ГОСТ Р ИСО/МЭК 27001-2006 |
Национальный стандарт Российской Федерации «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» |
|
№ 2016/679 |
Общий Регламент о защите данных ЕС |
3 Термины, определения и сокращения
· Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники (без непосредственного участия человека).
· База данных: представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
· Биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
· Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
· Информационная система персональных данных: совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.
· Конфиденциальность персональных данных: обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не передавать третьим лицам персональные данные без согласия субъекта персональных данных или иного законного основания.
· Ответственный за организацию обработки персональных данных в Компании: назначенный приказом единоличного исполнительного органа Компании работник Компании, отвечающий за соблюдение Компанией и её работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.
· Несанкционированный доступ: доступ к информации, ИТ-системам и компонентам ИТ-инфраструктуры лиц, не имеющих на это право, в нарушение правил разграничения доступа, но с использованием штатных средств, предоставляемых средствами вычислительной техники или информационной системы.
· Оператор (ПДн): государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
· Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
· Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
· Персональные данные: любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
· Предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
· Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
· Специальные категории персональных данных: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости.
· Структурное подразделение: подразделение Компании, являющееся исполнителем отдельных процессов, функций, работ, участвующее в хозяйственной деятельности Компании, но не имеющее хозяйственной самостоятельности в рамках Компании.
· Субъект персональных данных: физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
· Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
· Третьи лица: любые физические лица, не являющиеся работниками Компании, любые юридические лица, их объединения, должностные лица, органы государственной власти и местного самоуправления, иные лица, с которыми Компания вступает в какие-либо правоотношения.
· Угроза безопасности информации: совокупность условий и факторов, определяющих наличие потенциальной или реально существующей опасности, связанной с реализацией риска информационной безопасности.
· Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
· Закон – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
· ИБ – Информационная безопасность
· ИСПДн – Информационная система персональных данных
· Компания – ООО «Системные решения»
· РМД – Регламентирующие документы (нормативно-методические / организационно-правовые документы)
· ПДн – Персональные данные
· Политика – Политика ООО «Системные решения» в области обработки персональных данных
· РФ – Российская Федерация
4 Правовые основания обработки персональных данных
4.2 Правовым основанием обработки ПДн также являются:
· устав Компании;
· договоры, заключаемые между Оператором и субъектами ПДн;
· согласие субъектов ПДн на обработку их ПДн.
5 Основные принципы Политики
5.1.1 Обработка ПДн осуществляется на законной и справедливой основе.
5.1.2 Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не производится обработка ПДн, несовместимая с целями сбора ПДн.
5.1.3 Не производится объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
5.1.4 Обработке подвергаются только ПДн, которые отвечают целям их обработки.
5.1.5 Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.
5.1.6 При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
5.1.7 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, согласием субъекта ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2 Требования по организации обработки и обеспечению безопасности ПДн в Компании определяются:
· требованиями законодательства РФ в области ПДн, нормативно-методическими документами Компании и организационно-правовыми документами Компании;
· требованиями Трудового кодекса РФ;
· с учетом оценки вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства РФ;
· требованиями ратифицированной РФ Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн;
· с учетом российских и международных стандартов в области ИБ.
· организация обработки ПДн;
· взаимодействие с субъектами ПДн;
· взаимодействие с органами государственной власти;
· повышение осведомленности пользователей ПДн
· обеспечение безопасности ПДн;
· контроль за соблюдением требований в сфере обработки и защиты ПДн.
6 Объекты и субъекты Политики
· ПДн, обрабатываемые в Компании;
· ИСПДн, функционирующие в Компании;
· требования по обеспечению безопасности ПДн при их обработке в ИСПДн, и системы защиты ПДн, функционирующие в Компании;
· нормативно-методические и организационно-правовые документы Компании в области ПДн.
· Ответственный за организацию обработки ПДн в Компании;
· Ответственные за обеспечение безопасности ПДн в Компании;
· организация разработки РМД Компании по вопросам обработки и обеспечения безопасности ПДн;
· организация проведения мероприятий по внутреннему контролю и (или) аудита ИБ на соответствие обработки ПДн требованиям законодательства РФ, а также утвержденными РМД Компании в области ПДн;
· организация оценки вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
· организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
· организация взаимодействия от имени Компании с Уполномоченным органом по защите прав субъектов ПДн и иными уполномоченными органами в случаях, предусмотренных законодательством РФ о ПДн, с привлечением работников правовых служб Компании;
· организация формирования и направления в Уполномоченный орган по защите прав субъектов ПДн в сроки, установленные Законом, уведомления об обработке Компанией (о намерении Компании осуществлять обработку) ПДн или информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн, в случаях, когда это предусмотрено действующим законодательством РФ;
· осуществление регулярного мониторинга фактов включения Компании в ежегодный сводный план проведения плановых проверок субъектов предпринимательства на предмет соблюдения обязательных требований в области обработки ПДн;
· разработку и реализацию мероприятий для повышения осведомленности по вопросам обработки и обеспечения безопасности ПДн.
· вовлеченность руководителей Компании – деятельность по организации обработки и обеспечению безопасности ПДн инициируется и контролируется на уровне руководителей Компании;
· соответствие мер обеспечения безопасности ПДн требованиям законодательства РФ и РМД Компании в области ПДн;
· использование для обеспечения безопасности ПДн совокупности организационных и технических мер;
· повышение уровня осведомленности лиц, допущенных к обработке ПДн по вопросам обеспечения безопасности ПДн;
· совершенствование процессов обеспечения безопасности ПДн.
· организация работ по обеспечению безопасности ПДн;
· организация создания и ввода в эксплуатацию системы защиты ПДн,
· формирование предложений по модернизации системы защиты ПДн;
· организация управления инцидентами ИБ в ИСПДн;
· организация проверок соответствия обработки и обеспечения безопасности ПДн требованиям законодательства РФ и РМД Компании в области ПДн;
· организация информирования работников Компании о требованиях законодательства РФ в области обеспечения безопасности ПДн, а также РМД Компании по вопросам обеспечения безопасности ПДн.
6.6.1 Кандидаты для приема на работу в Компанию - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
· сведения об образовании, опыте работы, квалификации;
· иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
· фамилия, имя, отчество;
· пол;
· гражданство;
· дата и место рождения;
· изображение (фотография);
· паспортные данные;
· адрес регистрации по месту жительства;
· адрес фактического проживания;
· контактные данные;
· индивидуальный номер налогоплательщика;
· страховой номер индивидуального лицевого счета (СНИЛС);
· сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
· семейное положение, наличие детей, родственные связи;
· сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
· данные о регистрации брака;
· сведения о воинском учете;
· сведения об инвалидности;
· сведения об удержании алиментов;
· сведения о доходе с предыдущего места работы;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
· фамилия, имя, отчество;
· степень родства;
· год рождения;
· иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
· фамилия, имя, отчество;
· дата и место рождения;
· паспортные данные;
· адрес регистрации по месту жительства;
· контактные данные;
· замещаемая должность;
· индивидуальный номер налогоплательщика;
· номер расчетного счета;
· иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
· фамилия, имя, отчество;
· паспортные данные;
· контактные данные;
· замещаемая должность;
· иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
7 Основные положения об обработке ПДн
7.2 Компания осуществляет обработку ПДн в случаях, определенных Законом.
7.3 Компания может осуществлять обработку биометрических ПДн только при наличии согласия в письменной форме субъекта ПДн.
7.4 Компания не осуществляет обработку специальных категорий ПДн, за исключением случаев, предусмотренных законодательством РФ.
7.5 Компания может осуществлять обработку ПДн о судимости субъекта ПДн только в случаях и в порядке, которые определяются в соответствии с федеральными законами РФ.
7.6 Обработка ПДн прекращается при достижении одного из следующих условий:
· достижение целей обработки ПДн и максимальных сроков хранения документов, их содержащих;
· утрата необходимости в достижении целей обработки ПДн;
· выявление неправомерной обработки ПДн;
· отзыв субъектом ПДн согласия на обработку ПДн, за исключением случаев, предусмотренных законодательством РФ в области ПДн.
· наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
· предусмотренных международными договорами РФ;
· исполнения договора, стороной которого является субъект ПДн;
· защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн;
· предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
7.9 Компания осуществляет обработку ПДн с использованием средств автоматизации и без использования средств автоматизации.
7.10 К обработке ПДн допускаются работники Компании, в должностные обязанности которых входит обработка ПДн.
8 Сведения о соблюдении Компанией законодательно установленных прав субъектов ПДн
8.2 Для получения доступа субъекта ПДн к его ПДн в соответствии с положениями Закона субъект ПДн, а также его законный представитель, вправе направить соответствующий положениям Закона официальный запрос на доступ к своим ПДн.
8.3 Запросы в части предоставления информации об обработке ПДн, а также запросы на уточнение, изменение или прекращение обработки ПДн и отзывы согласия на обработку ПДн направляются официальным письмом по адресу Компании, указанному в Едином государственном реестре юридических лиц. Копии запросов и отзывов согласия для ускорения их рассмотрения по желанию субъекта ПДн могут быть направлены по адресу hr@syssol.ru.
8.4 Компания не осуществляет обработку ПДн без предварительного согласия субъекта ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
8.5 Компания не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
8.6 Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Компании. Компания рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, применения мер ответственности к виновным лицам и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.7 Субъект ПДн вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов ПДн.
8.8 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9 Сведения о принимаемых мерах по обеспечению выполнения Компанией обязанностей оператора при обработке ПДн
9.2 В Компании издаются и регулярно актуализируются документы, определяющие политику Компании в отношении обработки ПДн, нормативно-методические документы, устанавливающие правила обработки ПДн, а также нормативно-методические документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
9.3 В Компании применяются организационные и технические меры по обеспечению безопасности ПДн в соответствии Законом. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или другими федеральными законами.
9.4 Осуществляется контроль соответствия обработки ПДн требованиям законодательства РФ в области ПДн и требованиям по защите ПДн.
9.5 Производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.
9.6 Производится ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями по защите ПДн, документами, определяющими политику в отношении обработки ПДн, нормативно-методическими документами Компании по вопросам обработки ПДн и обеспечению безопасности ПДн и (или) обучение указанных работников.
9.7 При сборе ПДн Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
9.8 Компания обязуется представить РНД Компании по вопросам обработки и обеспечения безопасности ПДн и (или) иным образом подтвердить принятие вышеуказанных мер по запросу уполномоченного органа по защите прав субъектов ПДн.
9.9 Компания выполняет свои обязанности, возникающие при обращении к ней субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн в соответствии с положениями Закона.
9.10 Компания выполняет свои обязанности по устранению нарушений законодательства РФ, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн в соответствии с положениями Закона.
10 Ответственность
10.2 Ответственность за несвоевременное внесение изменений и дополнений в настоящую Политику несет лицо, ответственное за организацию обработки ПДн.
10.3 Ответственность за нарушение требований законодательства РФ и РМД Компании в сфере обработки и защиты ПДн определяется в соответствии с законодательством РФ.