Введение
Важнейшим условием реализации целей деятельности Оператора персональных данных (далее – «Оператор», «Общество»), является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и коммерческие процессы, в рамках которых они обрабатываются.
Обработка и обеспечение безопасности информации, отнесенной к персональным данным в Обществе осуществляется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»; Трудовым Кодексом РФ; Законом РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»; Федеральным законом от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Постановлением
Правительства РФ от 11.04.2001 N 290 «Об утверждении Правил оказания услуг (выполнения работ) по техническому обслуживанию и ремонту автомототранспортных средств»; Постановлением Правительства РФ от 21.09.2020г. N 1515 «Об утверждении Правил оказания услуг общественного питания», Постановлением Правительства РФ от 31.12.2020г. N 2463
«Об утверждении Правил продажи товаров по договору розничной купли- продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих коммерческую тайну и др.).
Настоящая Политика определяет принципы, порядок и условия обработки и защиты персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Общество может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.
Понятие и состав персональных данных. Термины и принятые сокращения.
Перечень персональных данных, подлежащих защите в Обществе, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Сведениями, составляющими персональные данные (далее – персональные данные, ПД), является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом настоящим Федеральным законом от 27.07.2006г. N 152-ФЗ «О персональных данных».
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных, ее цели.
Общество осуществляет обработку персональных данных в следующих целях:
Осуществления Обществом деятельности, предусмотренной Уставом, действующим законодательством РФ, в частности ФЗ: «Об Обществах с ограниченной ответственностью», Законом РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»; Постановлением Правительства РФ от 11.04.2001 N 290 «Об утверждении Правил оказания услуг (выполнения работ) по техническому обслуживанию и ремонту автомототранспортных средств», Постановлением Правительства РФ от 21.09.2020г. N 1515 «Об утверждении Правил оказания услуг общественного питания», Постановлением Правительства РФ от 31.12.2020г. N 2463 «Об утверждении Правил продажи товаров по договору розничной купли-продажи, перечня товаров длительного пользования, на которые не распространяется требование потребителя о безвозмездном предоставлении ему товара, обладающего этими же основными потребительскими свойствами, на период ремонта или замены такого товара, и перечня непродовольственных товаров надлежащего качества, не подлежащих обмену, а также о внесении изменений в некоторые акты Правительства Российской Федерации»;
Осуществления гражданско-правовых отношений: заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;
Осуществления трудовых отношений: организации кадрового учета Общества, обеспечения соблюдения законов и иных нормативно- правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом Общества
Информирования о товарах, сообщения о технических нововведениях, учета предоставленной информации в базах данных, проведения маркетинговых программ с помощью различных средств связи, в том числе, для продвижения товаров, работ и услуг, проведения статистических исследований, исследований, направленных на улучшение качества услуг,
В иных целях, не противоречащих действующего законодательству РФ.
Оператор должен сообщить субъекту о целях, способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва.
Документы, содержащие ПД, создаются путем:
- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство, водительское удостоверение и др.);
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
- оформление субъектами персональных данных согласий на обработку персональных данных.
Обработка ПД.
Обработка персональных данных осуществляется:
с согласия субъекта персональных данных на обработку его персональных данных. Субъект персональных данных оформляет отдельное согласие на обработку персональных данных для каждой цели обработки персональных данных, в том числе субъект персональных данных предоставляет отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
Категории субъектов персональных данных. Обрабатываются ПД следующих субъектов ПД:
- физические лица, состоящие с Обществом в трудовых отношениях;
- физические лица, уволившиеся из Общества;
- физические лица, являющиеся кандидатами на работу;
- физические лица, состоящие с Обществом в гражданско-правовых отношениях, либо планирующие/способные вступить в такие правоотношения в будущем.
Обработка персональных данных ведется:
с использованием средств автоматизации (автоматизированной системы управления базами данных (СУБД), а также иных программных средств, специально разработанных по поручению Оператора, объединение персональных данных в единую информационную систему. При этом используемыми способами обработки данных являются (включая, но не ограничиваясь): автоматическая сверка почтовых кодов с базой кодов, автоматическая проверка написания названий улиц/ населенных пунктов, автоматическая проверка действительности VIN кодов, государственных номерных знаков автомобилей, уточнение данных путем телефонной, почтовой связи или с помощью сети Интернет, сегментация базы по заданным критериям.
без использования средств автоматизации.
Не допускается предоставление третьим лицам/распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
Хранение персональных данных.
ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение персональных данных.
Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
Передача персональных данных.
Оператор предоставляет/распространяет ПД третьим лицам в следующих случаях:
- субъект выразил свое согласие на такие действия;
- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
Перечень лиц, которым передаются ПД. Третьи лица, которым передаются ПД:
- Пенсионный фонд РФ для учета (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Фонд социального страхования РФ (на законных основаниях);
- территориальный фонд обязательного медицинского страхования (на законных основаниях);
- страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
- банки для начисления заработной платы (на основании договора);
- органы МВД России в случаях, установленных законодательством,
- лица, которым Оператором поручена обработка ПД, а также, иные уполномоченные лица и контрагенты на законных основаниях, при условии соблюдения такими лицами требований законодательства об обеспечении конфиденциальности персональных данных и безопасности при их обработке.
Защита персональных данных
В соответствии с требованиями нормативных документов Оператором выполняются мероприятия по защите персональных данных правового, организационного и технического характера.
Правовые мероприятия защиты представляют собой разработку и введение комплекса правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование мероприятий по защите ПД.
Организационные мероприятия защиты включают в себя организацию структуры управления средствами защиты ПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
Технические мероприятия защиты включают в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
Основными мерами защиты ПД, используемыми Оператором, являются:
Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
Разработка политики в отношении обработки персональных данных.
- Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
- Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
- Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
- Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
- Осуществление внутреннего контроля и аудита.
Сроки обработки персональных данных
Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, а также иными требованиями законодательства РФ и локальными документами Общества.
Права и обязанности субъекта персональных данных и оператора
Права субъекта персональных данных.
- Субъект персональных данных имеет право требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Обществом и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и
- (или) компенсацию морального вреда в судебном порядке.
Общество как оператор персональных данных, обязано:
- при сборе ПД предоставить информацию об обработке ПД;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
Общество как оператор персональных данных, имеет право:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях; предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.
Принципы и условия обработки персональных данных
Обработка персональных данных Обществом осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
Заключительные положения
Настоящая Политика является внутренним документом Общества, общедоступной информацией Общества и подлежит размещению в Уголке Потребителя и/или на сайте Общества.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Общества.
Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.