Политика в отношении обработки персональных данных
1. Общие положения
1.1. Назначение и область действия
1.1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в закрытом акционерном обществе «СЕРВИС-ЦЕНТР» (ЗАО «СЕРВИС-ЦЕНТР», ИНН 5503219197, юр. адрес: 644046, Омская область, г. Омск, ул. Маяковского, дом 14), далее по тексту именуемое Оператор.
1.1.2. Положения настоящей Политики регулируют отношения, связанные с обработкой персональных данных, осуществляемой Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
1.1.3. Положения настоящей Политики могут уточняться иными локальными актами Оператора. Положения таких актов не должны противоречить положениям настоящей Политики.
1.2. Термины и сокращения1.2.1. В настоящей Политике используются определения, установленные ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О ПДн»), ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2.2. В настоящей Политике используются следующие сокращения:
ИСПДн |
- |
информационная система персональных данных |
Оператор |
- |
ЗАО «СЕРВИС-ЦЕНТР» |
ПДн |
- |
персональные данные |
Поручение |
- |
договор между ЗАО «СЕРВИС-ЦЕНТР» и иным физическим или юридическим лицом, государственным органом, учреждением или другим органом, соответствующий требованиям ч. 3 ст. 6 ФЗ «О ПДн» |
Представитель |
- |
законный представитель субъекта персональных данных |
Процессор |
- |
физическое или юридическое лицо, государственный орган, учреждение или другой орган, которые обрабатывают персональные данные на основании договора с ЗАО «СЕРВИС-ЦЕНТР» |
Согласие |
- |
согласие субъекта персональных данных на обработку его персональных данных |
Субъект |
- |
субъект персональных данных |
1.3. Основные права и обязанности Субъекта
1.3.1. Субъект имеет право на получение сведений об обработке его ПДн в составе, определенном ч. 7 ст. 14 ФЗ «О ПДн», исключая случаи, когда доступ Субъекта к его персональным данным нарушает права и законные интересы третьих лиц. Сведения предоставляются Оператором на основании письменного запроса Субъекта, содержащего сведения, перечисленные в ч. 3 ст. 14 ФЗ «О ПДн». Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Повторный запрос Субъекта должен направляться с соблюдением ч. 3 ст. 14 ФЗ «О ПДн».
1.3.2. Субъект вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Требование направляется оператору в виде письменного запроса Субъекта, содержащего сведения, перечисленные в ч. 3 ст. 14 ФЗ «О ПДн». Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
1.3.3. В случае, когда оператор осуществляет обработку ПДн Субъекта на основании Согласия, Субъект или его Представитель имеет право отозвать Согласие, направив Оператору письменный запрос Субъекта, содержащего сведения, перечисленные в ч. 3 ст. 14 ФЗ «О ПДн», а также указание следующих реквизитов Согласия: дата подписания, цель обработки ПДн. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
1.3.4. Если Субъект считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ «О ПДн» или иным образом нарушает его права и свободы, но вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
1.3.5. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.3.6. В случае смерти Субъекта его права в области обработки ПДн реализуют наследники Субъекта или его Представитель.
1.4. Основные права и обязанности Оператора1.4.1. Основные права Оператора
1.4.2. Оператор имеет право обрабатывать ПДн Субъекта в следующих случаях:
1) Обработка ПДн осуществляется на основании Согласия Субъекта.
2) Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
3) Обработка ПДн осуществляется в связи с участием Оператора и Субъекта в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
4) Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).
5) Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем.
6) Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение согласия Субъекта невозможно.
7) Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта.
8) Обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 ФЗ «О ПДн», при условии обязательного обезличивания ПДн.
9) Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.4.3. Оператор с согласия Субъекта имеет право поручить обработку ПДн Субъекта Процессору.
1.4.4. В случаях, перечисленных в ч. 8 ст. 14 ФЗ «О ПДн», оператор вправе отказать Субъекту или его Представителю в предоставлении сведений об обработке Оператором ПДн Субъекта.
1.4.5. В случаях, перечисленных в ч. 6 ст. 14 ФЗ «О ПДн» Оператор имеет право отказать в рассмотрении повторного запроса Субъекта или его Представителя о предоставлении сведений об обработке Оператором ПДн Субъекта. В случае такого отказа Оператор обязан предоставить мотивированное обоснование отказа.
1.4.6. В случаях, перечисленных в ч. 4 ст. 18 ФЗ «О ПДн» Оператор имеет право не предоставлять Субъекту сведения, предусмотренные ч.3 ст. 18 ФЗ «О ПДн».
1.4.7. Оператор вправе передавать ПДн Субъекта органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации, без получения согласия субъекта ПДн.
1.4.8. Оператор имеет право продолжить обработку ПДн при достижении цели обработки ПДн или в случае утраты необходимости в достижении этих целей, если:
- это право предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Оператором и Субъектом;
- срок хранения ПДн установлен федеральным законом или нормативно-правовым актом, изданным уполномоченным органов в исполнение федерального закона, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О ПДн», при условии обязательного обезличивания ПДн.
1.4.9. В случае отзыва Согласия Оператор вправе продолжить обработку ПДн без Согласия при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О ПДн».
1.4.10. В случае недееспособности Субъекта Оператор имеет право получить Согласие от Представителя.
1.4.11. В случае смерти субъекта ПДн Оператор имеет право получить Согласие от наследников Субъекта, если такое Согласие не было дано субъектом ПДн при его жизни.
1.4.12. Основные обязанности Оператора
а)Соблюдать принципы и условия обработки ПДн, установленные законодательством в области Пдн.
б) Соблюдать конфиденциальность ПДн, обеспечивать соблюдение конфиденциальности ПДн Процессором.
в) Исполнять обязанности, возложенные на Оператора ст. 18-22.1 ФЗ «О ПДн».
г) В договоре с Процессором определять перечень действий (операций) с ПДн, которые будут совершаться Процессором, и цели обработки, обязанность Процессора соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указывать требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ « О ПДН».
д) Осуществлять контроль над обработкой ПДн Процессором.
е) Осуществлять обработку специальных категорий ПДн, исключительно в случаях, предусмотренных частями 2 и 3 статьи 10 ФЗ «О ПДн», и незамедлительно прекратить их обработку, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
ж) Осуществлять обработку ПДн только после получения в порядке, определенном ст. 9 ФЗ «О ПДн», Согласия в следующих случаях:
- обработка ПДн не подпадает под установленные п. 2 - 11 части 1 статьи 6 Федерального закона «О ПДн» случаи обработки ПДн;
- включение ПДн в общедоступные источники ПДн;
- при обработке биометрических ПДн, которые используются Оператором для установления личности субъекта ПДн.
- Оператор осуществляет обработку ПДн по договору (поручению) в качестве Процессора, и условиями договора (поручения) предусмотрена обязанность Оператора получать такое согласие;
- осуществления трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, исключая случаи, перечисленные в п. 2 – 5 ч. 4 ст. 12 ФЗ «О ПДн»;
- принятия, на основании исключительно автоматизированной обработки ПДн, решения, порождающее юридические последствия в отношении Субъекта или иным образом затрагивающее его права и законные интересы.
1.4.12. з) Осуществлять распространение ПДн только после получения в порядке, определенном ст. 10.1 ФЗ «О ПДн», отдельного Согласия и с соблюдением особенностей обработки ПДн, разрешенных Субъектом для распространения, установленными указанной статьей.
1.4.12. и) Проверять полномочия Представителя на дачу Согласия от имени Субъекта в случае получения Согласия Представителя.
2. Цели обработки ПДн
Оператор обрабатывает ПДн в следующих целях:
- обеспечения соблюдения законов и иных нормативных правовых актов в сфере труда, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работником работы и обеспечения сохранности имущества Оператора;
- выполнения требований законодательства в сфере налогообложения;
- выполнения требований законодательства в сфере государственной статистики;
- ведения текущего бухгалтерского и налогового учёта, формированию, изготовлению и своевременной подаче бухгалтерской, налоговой и статистической отчётности;
- ведения индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
- выполнения требований законодательства в сфере обязательного медицинского страхования;
- исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также заключение договора по инициативе субъекта ПДн или - договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- исполнение договора, согласно которому Оператор привлекается к обработке ПДн;
- обработка обращений субъектов ПДн по вопросам, находящихся в компетенции Оператора;
- формирование и обработка статистических данных при условии обязательного обезличивания ПДн;
- проведение рекламных и маркетинговых кампаний (в том числе в форме опросов и предоставления Субъекту информации о товарах, работах, услугах, путем осуществления прямых контактов с Субъектом с помощью средств связи);
3. Правовые основания обработки ПДн
Обработка ПДн осуществляется во исполнение и в соответствии с положениями следующих федеральных, законов, нормативно-правовых актов, изданных в их исполнение, локальных правовых актов Оператора:
- Конституция Российской Федерации от 12.12.1993 г.;
- Гражданский Кодекс РФ;
- Трудовой Кодекс РФ от 30.12.2001 г. №197-ФЗ;
- Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон РФ от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
- Федеральный закон РФ от 29 ноября 2007 г. N 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации»;
- Федеральный закон РФ от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федеральный закон РФ от 01.04.96 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон РФ от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон РФ от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон РФ от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон РФ от 30.03.1999 г. № 52-ФЗ «О санитарно - эпидемиологическом благополучии населения»;
- Федеральный закон РФ от 27.11.1992 г. № 4015-1 «Об организации страхового дела в Российской Федерации»;
- Постановление Правительства Российской Федерации от 16.04.2003 г. № 225 «О трудовых книжках»;
- Постановление Правительства РФ от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Государственного комитета Российской Федерации по статистике от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- Постановление Правления ПФР от 31.07.2006 г. № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению»;
- Приказ ФНС от 17.11.2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников»;
- Приказ Министерства здравоохранения и социального развития РФ от 28.02.2011 г. № 158Н «Об утверждении правил обязательного медицинского страхования»;
- Приказ Минздравсоцразвития РФ от 12.04.2011 г. № 302н «Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования), и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда»;
- Устав ЗАО «СЕРВИС-ЦЕНТР»;
- Трудовые договоры с работниками;
- действующие локальные нормативные акты;
- Договоры, заключаемые между ЗАО «СЕРВИС-ЦЕНТР» и Субъектом;
- Договоры, заключаемые между ЗАО «СЕРВИС-ЦЕНТР» и иными операторами ПДн, по которым ЗАО «СЕРВИС-ЦЕНТР» привлекается к обработке ПД;
- Согласие на обработку ПДн (в случаях, прямо не предусмотренных законодательством Российской Федерации).
4. Состав (категории) обрабатываемых ПДн, категории субъектов ПДн
4.1. С целью осуществления возложенных нормативно-правовыми актами обязанностей и полномочий, а также законных интересов Оператор обрабатывает ПДн следующих категорий субъектов ПДн:
1) работники, заключившие трудовой договор с Оператором, а также их близких родственников;
2) бывшие работники Оператора;
3) кандидаты на замещение вакантных должностей;
4) физических лиц, обратившихся к Оператору по вопросам, находящихся в его компетенции;
5) физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридических лиц), а также лиц, состоящих в иных договорных отношениях с Оператором;
6) физических лиц, заключивших с Оператором договор, по которому такое лицо будет являться выгодоприобретателем или поручителем.
4.2. Состав (категории) обрабатываемых Оператором ПДн определяется составом сведений, включённых в состав типовых форм и (или) перечней сведений, утвержденных нормативно-правовыми актами, перечисленными в части 3 настоящей Политики, Согласия, и, в частности, включает в себя:
4.2.1. для работников и бывших работников Оператора:
а) фамилия, имя, отчество (при наличии);
б) адрес действительного проживания;
в) адрес регистрации места проживания;
г) сведения основного документа, удостоверяющего личность;
д) сведения о присвоении ИНН;
е) сведения СНИЛС;
ж) сведения об образовании;
з) сведения воинского учета;
и) сведения о ближайших родственниках (родители, супруги, дети);
к) сведения о трудовой деятельности;
л) сведения о состоянии здоровья (в части сведений о времнной нетрудоспособности и (или) инвалидности)
м) контактные данные;
н) фотографическое изображение;
о) иные ПДн, входящие в состав типовых форм или предоставленные Субъектом на свое усмотрение или в рамках предоставленного Оператору Согласия.
4.2.2. для кандидатов на замещение вакантных должностей:
а) фамилия, имя, отчество (при наличии);
б) сведения об образовании;
в) сведения о трудовой деятельности;
г) контактные данные;
д) иные ПДн, предоставленные кандидатом по своему усмотрению или в рамках предоставленного Оператору Согласия.
4.2.3. для физических лиц, обратившихся к Оператору по вопросам, находящихся в его компетенции:
а)фамилия, имя, отчество (при наличии);
б)контактные данные.
4.2.4. физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридические лица), а также лиц, состоящих в иных договорных отношениях с Оператором:
а) фамилия, имя, отчество (при наличии);
б) адрес действительного проживания;
в) адрес регистрации места проживания;
г) сведения основного документа, удостоверяющего личность;
д) сведения о присвоении ИНН;
е) сведения, содержащиеся в гражданско-правовых договорах на выполнение работ (оказание услуг);
ж) контактные данные;
з) иные ПДн, предоставленные Субъектом на свое усмотрение или в рамках предоставленного Оператору Согласия.
4.2.5. Для физических лиц, заключивших с Оператором или лицом, поручившим Оператору обработку Пдн, договор, по которому такое лицо будет являться выгодоприобретателем или поручителем:
а) фамилия, имя, отчество;
б) данные основного документа, удостоверяющего личность;
в) контактные данные (номер телефона, адрес почтовый, адрес проживания, адрес электронной почты);
г) данные СНИЛС;
д) данные ИНН;е) данные банковских реквизитов;
ж) сведения, о заказанных и полученных товарах, работах и услугах, а также о их оплате.
4.3. В случае, когда состав (категории) обрабатываемых ПДн не определен типовыми формами документов на бумажных носителях, утвержденными нормативно-правовыми актами, перечисленными в части 3 настоящей Политики, Оператор разрабатывает, и утверждаем правовым актом соответствующую локальную типовую форму.
4.4. Состав (категории) ПДн включенный правовым актом Оператора в локальную типовую форму должен соответствовать заявленной таким актом цели обработки ПДн.
4.5. Включенные правовым актом Оператора в локальную типовую форму ПДн, не могут быть избыточными по отношению к заявленной актом Оператора цели их обработки.
4.6. При осуществлении обработки ПДн с применением средств автоматизации, состав (категории) ПДн, включенных в электронные формы, должен соответствовать составу (категориям) ПДн, включенным в типовые и (или) локальные формы документов на бумажных носителях.
5. Порядок и условия обработки ПДн
5.1. Общие условия5.1.1. При обработке ПДн Оператор осуществляет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
5.1.2. Обработка ПДн Оператором осуществляется в соответствии с порядком, установленным федеральными законами и нормативно-правовыми актами, перечисленными в части 3 настоящей Политики.
5.1.3. В случае, когда порядок обработки отдельных категорий и (или) групп (массивов) ПДн не определен действующим законодательством, Оператор разрабатывает и утверждает правовым актом локальный порядок обработки таких ПДн.
5.1.4. В случае разработки Оператором локального акта, определяющего порядок обработки отдельных категорий и (или) групп (массивов) ПДн, его положения должны учитывать принципы и условия обработки ПДн, установленные ФЗ «О ПДн».
5.1.5. При обработке ПДн с применением средств автоматизации, порядок обработки ПДн должен соответствовать порядку, установленному действующим законодательством, с учетом особенностей обработки информации в электронной форме и положений эксплуатационно-технической документации на средства автоматизации.
5.1.6. Обработка ПДн, зафиксированных на материальном носителе (бумажные документы), должна осуществляться в соответствии с порядком, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.2. Сбор ПДн5.2.1. При осуществлении сбора ПДн должны получаться непосредственно от Субъекта.
5.2.2. В случае, когда ПДн Субъекта предоставляются третьим лицом, то работник Оператора, осуществляющий получение ПДн, должен убедиться в наличие у такого лица законных оснований на передачу чужих ПДн, и зафиксировать сведения об источнике и времени получения ПДн. Законным основанием, в частности, может являться:
- наличие нормативно-правового акта, возлагающего на третье лицо обязанность передать ПДн субъекта Оператору;
- наличие у передающего лица согласия субъекта ПДн на передачу его ПДн Оператору;
- наличие у передающего лица доверенности, оформленной в соответствии с требованиями законодательства, на передачу ПДн субъекта ПДн Оператору;
- наличие у передающего лица документа, оформленного в соответствии с требованиями законодательства и подтверждающего право передающего лица представлять интересы субъекта ПДн, например:
- для родителя, это паспорт с отметкой о наличии ребенка и свидетельство о рождении, указанного в паспорте, ребенка;
- для опекуна, это решение органа опеки или нормативный акт соответствующего органа власти об установлении опеки над несовершеннолетним и (или) недееспособным субъектом;
- для адвоката, это ордер на исполнение поручения, выдаваемый соответствующим адвокатским образованием (адвокатский ордер).
5.2.3. В случае, когда ПДн Субъекта получают путем их извлечения из общедоступного источника ПДн, работник Оператора, осуществляющий извлечение ПДн, должен фиксировать сведения об источнике ПДн, лице, произведшем извлечение ПДн, дату извлечения ПДн.
5.2.4. В случае, когда осуществляется сбор ПДн разрешенных Субъектом для распространения, должны выполняться требования ст. 10.1 ФЗ «О ПДн».
5.2.5. В случае, когда сбор ПДн осуществляется с целью проведение рекламных и маркетинговых кампаний, Оператор предварительно обязан получить Согласие по форме, утвержденной локальным актом Оператора.
5.2.6. В случае, когда ПДн Субъекта получают с использованием электронных форм, размещенных Оператором на сайте в сети «Интернет», должны обеспечиваться:
- ознакомление Субъекта с настоящей Политикой;
- получение Согласия, в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
5.3. Запись, систематизация, накопление, хранение5.3.1. Хранение ПДн должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, или Согласием.
5.3.2. Согласие хранится оператором в течение срока его действия, а также в течение 3 (трех) лет с момента его отзыва или прекращения действия.
5.3.3. При осуществлении хранения ПДн должны использоваться базы данных, находящиеся на территории Российской Федерации.
5.3.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
5.3.5. Для ПДн, обрабатываемых без применения средств автоматизации, необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
5.3.6. При хранении ПДн как в электронной форме, так и на материальных носителях (бумажные документы, фото и светокопии и т.п.) должны соблюдаться условия, обеспечивающие сохранность ПДн (материальных и машинных носителей) и исключающие несанкционированный к ним доступ.
5.3.7. Должны быть определены места хранения ПДн (материальных и (или) машинных носителей (данных)) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
5.3.8. При обработке ПДн в электронной форме или на материальных носителях должна осуществляться фиксация обращений (в том числе действий над ПДн) лиц, допущенных к обработке ПДн, посредством ведения машинных (электронных) и (или) бумажных журналов. Фиксации в журналах также подлежат факты перемещения и (или) копирования ПДн, или материальных носителей, содержащих данные ПДн.
5.3.9. Хранение биометрических ПДн должно осуществляться в соответствии с порядком, утвержденным Постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
5.3.10. Хранение ПДн после истечения установленных сроков их обработки, отзыва Согласия, достижения цели обработки ПДн или утраты необходимости в достижении цели обработки ПДн осуществляется только в статистических целях, и только после обязательного проведения процедуры обезличивания ПДн.
5.4.1. Использование ПДн допускается только для достижения цели их сбора и обработки.
5.4.2. При необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном или машинном носителе, в той же базе данных осуществляется извлечение (копирование) персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.
5.4.3. Извлечение определенных ПДн для создания информационных ресурсов, обработка ПДн в которых не связана с первоначальной целью сбора извлекаемых ПДн, не допускается.
5.5.1. Распространение (предоставление неограниченному кругу лиц) ПДн допускается исключительно с соблюдением положений ст. 10.1 ФЗ «О ПДн». Под распространением понимается размещение ПДн в источниках информации доступ, к которым предоставлен неограниченному кругу лиц, например: размещение на страницах сайта в сети «Интернет»; на материальных носителях (листовки, стенды, информационные доски и т.п.), размещенных в общедоступных местах.
5.5.2. Включение ПДн в общедоступные источники информации (в том числе справочники, адресные книги и т.п.), доступ к которым ограничен, не является распространением, и осуществляется с соблюдением положений ст. 8 ФЗ «О ПДн».
5.5.3. Перед размещением ПДн в общедоступном источнике ПДн, Оператор должен убедиться в наличие законных оснований на включение ПДн Субъекта в общедоступный источник ПДн. Законными основаниями в таком случае могут являться:
- письменное Согласие на включение ПДн в общедоступный источник ПДн;
- письменная просьба Субъекта разместить его ПДн в общедоступном источнике ПДн.
5.5.4. В случае передачи (предоставлении, доступе) ПДн Субъекта третьим лицам, Оператор должен убедиться в наличие законных оснований на такую передачу ПДн. Законными основаниями могут являться:
- письменное Согласие на передачу ПДн третьему лицу;
- нормативно-правовой акт, возлагающий на Оператора обязанность передать ПДн субъекта третьему лицу;
- наличие у запрашивающего ПДн лица доверенности, оформленной в соответствии с требованиями законодательства, на получение ПДн Субъекта от Оператора;
- наличие у запрашивающего ПДн лица документа, оформленного в соответствии с требованиями законодательства и подтверждающего право передающего лица представлять интересы Субъекта, например:
- для родителя, это паспорт с отметкой о наличии ребенка и свидетельство о рождении, указанного в паспорте, ребенка;
- для опекуна, это решение органа опеки или нормативный акт соответствующего органа власти об установлении опеки над несовершеннолетним и (или) недееспособным субъектом;
- для адвоката, это ордер на исполнение поручения, выдаваемый соответствующим адвокатским образованием (адвокатский ордер).
5.5.5. Оператор на основании договоров и с согласия Субъекта может привлекать к обработке ПДн Процессоров и передавать (предоставлять) им ПДн Субъекта.
5.5.6. Оператор обязан осуществлять периодический контроль над соблюдением Процессором принципов, условий и правил обработки ПД субъекта.
5.5.7. В случае выявления нарушений принципов, условий и правил обработки ПД субъекта Процессором, Оператор обязан требовать от Процессора устранения нарушений, в том числе, при необходимости, в судебном порядке.
5.6. Обезличивание
5.6.1. Обезличивание ПДн осуществляется методами, установленными Приказом Роскомнадзора России от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию ПДн».
5.6.2. Полученные в результате обезличивания сведений данные должны одновременно отвечать следующим требованиям:
1) полнота - сохранение всей информации о субъектах данных или группах субъектов данных, которая имелась до обезличивания;
2) структурированность - сохранение структурных связей между обезличенными данными конкретного субъекта данных или группы субъектов данных, соответствующих связям, имеющимся до обезличивания;
3) релевантность - возможность обработки запросов по обработке обезличенных ПДн и получения ответов в одинаковой семантической форме;
4) семантическая целостность - соответствие семантики атрибутов обезличенных сведений семантике соответствующих атрибутов ПДн при их обезличивании;
5) применимость - возможность решения задач обработки ПДн без предварительного деобезличивания всего объема записей о субъектах данных;
6) анонимность - невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания.
5.6.3. Обезличивание части ПДн, обрабатываемых без применения средств автоматизации, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание)
5.7. Актуализация, уточнение ПДн
5.7.1. Ознакомление работников Оператора с составом их ПДн, обрабатываемых Оператором, а также актуализация и исправление ПДн работника осуществляется в рамках ознакомления работников с содержанием их личных дел и с записями в трудовых книжках.
5.7.2. Внеплановая актуализация и исправление ПДн работников Оператора осуществляется в случаях обязательного предоставления работником сведений об изменении состава его ПДн (смена фамилии, брак, получение дополнительного образования, повышение квалификации и т.п.), а также по инициативе работника.
5.7.3. Актуализация ПДн физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридические лица), а также лиц, состоящих в иных договорных отношениях с Оператором, осуществляется каждый раз при продлении или оформлении новых договорных отношений.
5.7.4. Актуализация ПДн кандидатов на замещение вакантных должностей и физических лиц, направивших Оператору обращение, не осуществляется в связи с малым сроком хранения.
5.7.5. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации должно производиться путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными ПДн.
5.8.1. Удаление ПДн, обрабатываемых с применением средств автоматизации осуществляется в соответствии с процедурами, установленными эксплуатационно-технической документацией на такие средства автоматизации.
5.8.2. Уничтожение ПДн, содержащихся на материальных носителях, осуществляется способом безвозвратного уничтожения самого носителя (сожжение, разрезание, уничтожение с применением химических средств и т.п.). Способ уничтожения определяется Оператором исходя из доступных технических средств по уничтожению материальных носителей информации.
5.8.3. Удаление ПДн, содержащихся на материальных носителях (бумажные документы), физическое уничтожение которых невозможно, по тем или иным причинам, осуществляется вырезанием или вымарыванием ПДн, а также с применением устройствам для стирания текстовой информации. Любой из выбранных способов удаления должен гарантировано исключать возможность ознакомления с удаляемыми ПДн впоследствии.
5.9.1. Организация приема и обработки обращений и запросов Субъектов или их представителей, уполномоченного органа по защите прав Субъектов и осуществление контроля за приемом и обработкой таких обращений и запросов осуществляет ответственный за организацию обработки ПДн.
5.9.2. Запросы работников Оператора, касающиеся обработки их ПДн, рассматриваются HR-центр Оператора с соблюдением сроков, установленных статьей 20 Федерального закона «О ПДн».
5.9.3. Запросы физических лиц, осуществляющих выполнение работ (оказание услуг) по гражданско-правовым договорам, контрагентов и их законных представителей (юридические лица), а также лиц, состоящих в иных договорных отношениях с Оператором, касающиеся обработки их ПДн, рассматриваются ответственным за организацию обработки ПДн с соблюдением сроков, установленных статьей 20 Федерального закона «О ПДн».
5.9.4. Запросы уполномоченного органа по защите прав субъектов ПДн рассматриваются ответственным за организацию обработки ПДн Оператора с соблюдением сроков, установленных статьей 20 Федерального закона «О ПДн».
6. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ «О ПДн»
6.1. Оператором назначается лицо, ответственное за организацию обработки ПДн.
6.2. Издаются документы, определяющие политику Оператора в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
6.3. Определяются угрозы безопасности ПДн при их обработке в ИСПДн Оператора.
6.4. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 уровни защищенности ПДн.
6.5. В случаях, когда это необходимо для нейтрализации актуальных угроз безопасности ПДн, применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
6.6. Проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
6.7. Ведется учет машинных носителей ПДн.
6.8. Проводится работа по обнаружению фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них.
6.9. Определен порядок восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.10. Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
6.11. Производится внутренний контроль над принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
6.12. Состав и содержание, необходимых для выполнения установленных Правительством Российской Федерации от 01.11.2012 г. № 1119, требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн определяется исходя из положений Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн».
6.13. Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн ФЗ «О ПДн» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Оператора.
6.14. Осуществляется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О ПДн», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О ПДн».
Осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.Контактные данные для направления письменных запросов Субъектов
Контактные данные |
|
Телефон: |
+7(3812)37 23 23 |
Адрес электронной почты (для отправки запросов в электронном виде, заверенных усиленной квалифицированной электронной подписью): |