ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2017 г.
1. Общие положения
1.1. Настоящая политика обработки персональных данных (далее — «Политика») разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), определяет принципы и основные вопросы, связанные с обработкой персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных ООО «УМФ-Консалт» (далее — «Оператор»).
1.2. Политика разработана в целях реализации требований законодательства в области персональных данных и направлена на обеспечение защиты прав и свобод физических лиц, персональные данные которых обрабатывает Оператор (далее — «Субъект персональных данных»).
1.3. Настоящая Политика применима ко всем случаям обработки персональных данных Оператором, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.
1.4. В целях реализации Политики Оператором разрабатываются соответствующие локальные нормативные акты, регламентирующие порядок обработки персональных данных.
1.5. Для целей настоящей Политики используются понятия, предусмотренные ФЗ «О персональных данных».
2. Правовые основы обработки персональных данных
2.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Правовыми основаниями для обработки являются:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 29.11.2007 г. № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации»;
— Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
— Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
— Федеральный Закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
— Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
— Постановление Правительства РФ от 16.04.2003 г. № 225 «О трудовых книжках»;
— Постановление Правительства РФ от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства России от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Министерства культуры Российской Федерации от 25.08.2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
— Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Госкомстата РФ от 05.01.2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»
3. Основные принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
— соблюдение законности целей и способов обработки персональных данных;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;
— обработке подлежат только персональные данные, которые отвечают целям обработки;
— содержание и объем обрабатываемых персональных данных, а также способы их обработки должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— не допускается обработка персональных данных, несовместимая с целями обработки;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
— обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
— уничтожение персональных данных по истечении срока хранения;
— обеспечение конфиденциальности и защиты персональных данных.
4. Субъекты персональных данных
4.1. Оператор осуществляет обработку персональных данных следующих категорий физических лиц (далее — «Субъекты персональных данных»):
а) Работники Оператора:
— физические лица, являющиеся кандидатами на вакантные должности Оператора;
— физические лица, являющиеся работниками Оператора;
— физические лица, ранее состоявшие в трудовых отношениях с Оператором.
б) Работники третьих лиц:
— физические лица, которые являются работниками третьих лиц и с согласия которых, обработка персональных данных поручена Оператору;
— физические лица, ранее состоявшие в трудовых отношениях с третьими лицами и с согласия которых, обработка персональных данных поручена Оператору;
— физические лица, которые являются кандидатами на вакантные должности третьих лиц;
в) Клиенты третьих лиц:
— физические лица, которые воспользовались услугами третьих лиц и с согласия которых, обработка персональных данных поручена Оператору; представители указанных физических лиц (представители субъектов ПД);
г) Иные субъекты персональных данных, которые не вошли в вышеперечисленные выше категории, в том числе:
— физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
— физические лица, являющиеся руководителями, представителями и работниками контрагентов Оператора;
— физические лица, выразившие согласие на обработку персональных данных, в том числе на включение персональных данных в общедоступные источники;
— физические лица, обработка персональных данных, которых необходима для выполнения обязанностей, реализации прав и законных интересов в рамках осуществления Оператором деятельности, предусмотренной Уставом.
4.2. Состав персональных данных, обрабатываемых Оператором, определен в перечнях обрабатываемых персональных данных для каждой категории Субъектов персональных данных в зависимости от цели обработки, в соответствии с локальными нормативными актами Оператора.
5. Цели обработки персональных данных
5.1. Оператор осуществляет обработку персональных данных в следующих целях:
— осуществления функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации;
— реализация прав и законных интересов Оператора в рамках осуществления деятельности, предусмотренной Уставом;
— ведения кадрового и бухгалтерского учёта;
— принятия решения о приёме на работу;
— открытия счета и выпуска банковской карты для перечисление заработной платы и иных выплат работникам;
— информирования о товарах, работах и услугах, а также их продвижения (распространение рекламы), в том числе путем осуществления прямых контактов с потенциальным потребителем, с помощью средств связи;
— обеспечения пропускного и внутриобъектового режимов, в случае введения такого режима на объектах Оператора;
— предусмотренных поручением обработки персональных данных третьих лиц.
6. Организация обработки персональных данных
6.1. Обработка Персональных данных Оператором осуществляется с согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, когда такое согласие не требуется.
При обработке персональных данных по поручению, согласие субъекта персональных данных получает лицо поручающее обработку Оператору.
6.2. Оператор обрабатывает персональные данные как с использованием средств автоматизации (с помощью средств вычислительной техники), так и без использования таких средств.
6.3. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.
6.4. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
6.5. Доступ к обрабатываемым персональным данным предоставляется только работникам Оператора, допущенным к обработке персональных данных в соответствии с локальными нормативными актами Оператора, исключительно для выполнения должностных обязанностей.
6.6. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.7. Передача персональных данных третьим лицам осуществляется исключительно для достижения целей обработки, а также в случаях, предусмотренных законодательством РФ. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.
6.8. Оператор не осуществляет трансграничную передачу персональных данных.
6.9. Оператор обрабатывает только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
6.10. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости; не осуществляет обработку биометрических данных либо касающихся состояния здоровья.
6.11. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, предусмотренных в п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
7. Сроки обработки и хранения персональных данных
7.1. Обработка персональных данных осуществляется в течение сроков, необходимых для достижения целей обработки, предусмотренных Политикой, а также сроков предусмотренных договором или согласием Субъекта персональных данных на обработку его персональных данных
7.2. Хранение персональных данных осуществляется в течение сроков предусмотренных договором или согласием Субъекта персональных данных на обработку его персональных данных. Хранение документов, содержащих персональные данные, осуществляется в течение сроков хранения документов, предусмотренных законодательством Российской Федерации.
7.3. Сроки обработки и хранения персональных данных устанавливаются локальными нормативными актами Оператора.
7.4. Базы данных, содержащие персональные данные, обрабатываемые Оператором, находятся на территории Российской Федерации.
8. Обеспечение безопасности персональных данных
8.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, в соответствии с законодательством в области персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ.
8.2. Основными мерами защиты персональных данных, реализуемыми Оператором, являются:
— назначает ответственного за организацию обработки персональных данных;
— обеспечивает неограниченный доступ к Политике;
— во исполнение Политики утверждает локальные нормативные акты, регламентирующие порядок обработки персональных данных;
— производит ознакомление работников с положениями законодательства о персональных данных, а также локальными нормативными актами;
— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения должностных обязанностей;
— устанавливает правила доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечивает регистрацию и учёт всех действий с ними;
— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
— применяет организационные и технические меры и использует средства защиты информации, необходимые для обеспечения установленного уровня защищенности персональных данных;
— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
— осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных и локальным нормативным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора;
— иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
8.3. Конкретные меры по обеспечению безопасности персональных данных устанавливаются в соответствии с локальными нормативными актами Оператора, регламентирующими порядок обработки персональных данных.
9. Права субъектов персональных данных
9.1. Субъект персональных данных имеет право:
— на получение относящихся к нему персональных данных и информации, касающейся их обработки;
— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— на отзыв согласия на обработку персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору с запросом. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
10. Заключительные положения
10.1. Контроль за соблюдением требований законодательства, а также локальных нормативных актов, регламентирующих порядок обработки персональных данных, осуществляется лицом ответственным за организацию обработки персональных данных.
10.2. Лица, виновные в нарушении требований законодательства и локальных нормативных актов Оператора в области персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.