Политика обработки персональных данных

Pdf icon Политика компании в отношении обработки персональных данных (PDF)

  1. ОБЩИЕ ПОЛОЖЕНИЯ

    Политика обработки персональных данных (далее - Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ-152) и иными федеральными законами и нормативно-правовыми актами.

    Настоящая Политика определяет основные принципы, цели, порядок и условия обработки персональных данных и меры по обеспечению безопасности персональных данных в «ООО "МОСТИНФО"» (далее - Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «МОСТИНФО» вопросы обработки персональных данных работников ООО «МОСТИНФО» и других субъектов персональных данных.

    Все работники Оператора, получившие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением для последующего его исполнения.

    В Политике используются следующие основные понятия:

    автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

    блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

    обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

    обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

    трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

    уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

    Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.

  2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Персональные данные ООО «МОСТИНФО» обрабатываются на основании:

    1. Конституция Российской Федерации;
    2. Трудовой кодекс Российской Федерации;
    3. Гражданский кодекс Российской Федерации;
    4. Налоговый кодекс Российской Федерации;
    5. Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
    6. Федеральный закон от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
    7. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    8. Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
    9. Приказ Федеральной налоговой службы от 30 октября 2015 г. № ММВ-7-11/485@ «Об утверждении формы сведений о доходах физического лица, порядка заполнения и формата ее представления в электронной форме»;
    10. Положение о воинском учете, утвержденное Постановлением Правительства РФ от 27.11.2006 г. № 719;
    11. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
    12. Федеральный закон от 05.04.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
    13. Устав ООО «МОСТИНФО»;
    14. Регламент удостоверяющего центра ООО «МОСТИНФО»;
    15. Договоры, заключаемые между оператором и субъектом персональных данных;
    16. Согласие на обработку персональных данных.

  3. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Цели обработки персональных данных

      Обработка персональных данных у Оператора осуществляется в следующих целях:

      1. обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
      2. осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе:
        1. по предоставлению персональных данных в органы государственной власти, в Пенсионный Фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный Фонд обязательного медицинского страхования, а также в иные государственные органы;
        2. исчислению и уплаты предусмотренных законодательством РФ налогов, сборов, и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
        3. выполнению требований законодательства об основах охраны здоровья граждан;
        4. выполнению требований законодательства в сфере труда и налогообложения;
        5. выполнению требований законодательства о воинской обязанности;
        6. исполнению судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
        7. исполнению требований Федерального закона 63-ФЗ «Об электронной подписи»;
        8. исполнению требований Федерального закона 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и требований регламентов электронных торговых площадок;
        9. выполнению требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами и контрагентами Оператора;
      3. осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
      4. регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых поездок, организация питания, прохождения медицинских осмотров, участия в корпоративных мероприятиях, предоставление налоговых вычетов);
      5. начисления заработной платы работников;
      6. наделение работников определенными полномочиями (оформление доверенностей);
      7. подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами заключаемыми Оператором с контрагентами;
      8. предоставления пользователям возможности по передаче отчетности по телекоммуникационным каналам связи;
      9. предоставление пользователям возможности пользоваться сервисами: электронная отчетность, электронный документооборот и пр.;
      10. изготовление и хранение сертификатов ключей проверки электронной подписи изготовление списка отзывов сертификатов, ведение реестра выданных и аннулированных сертификатов.

    2. Принципы обработки персональных данных

      Обработка персональных данных осуществляется на основе следующих принципов:

      1. законности заранее определенных конкретных целей и способов обработки персональных данных;
      2. обеспечения надлежащей защиты персональных данных;
      3. соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе персональных данных;
      4. соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
      5. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных но отношению к целям, заявленным при сборе персональных данных;
      6. хранения персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
      7. уничтожения персональных данных по достижении целей обработки, если срок хранения персональных данных не установлен законодательством РФ;
      8. обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

  4. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В ООО "МОСТИНФО"

    1. Работники ООО «МОСТИНФО» (в том числе уволенные) и работники сторонних организаций, с которыми заключено соглашение о сотрудничестве, кандидаты на замещение вакантных должностей;
    2. клиенты и контрагенты оператора (физические лица и индивидуальные предприниматели);
    3. представители/работники клиентов и контрагентов оператора (юридических лиц).

  5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ООО "МОСТИНФО"

    1. Перечень персональных данных, обрабатываемых в ООО «МОСТИНФО» определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами ООО «МОСТИНФО» с учетом целей обработки персональных данных;
    2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в ООО «МОСТИНФО» не осуществляется;
    3. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме;
    4. В целях индексации web-порталов most-info.ru и irmacom.ru поисковыми системами yandеx.ru и google.ru, а также учета частоты посещения страниц, Оператор использует службы Yandex.Metrika и GoogleAnalytics, технологии cookies. В момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды служб Yandex.Metrika и GoogleAnalytics, передаст в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IР-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений. Обработка персональных данных осуществляется в целях улучшения работы сайта Оператора, совершенствования программных продуктов Оператора, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Оператора.

  6. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ

    Оператор не производит трансграничную передачу персональных данных.

  7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ, СОВЕРШАЕМЫХ ОПРЕАТОРОМ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

    Оператор осуществляет:

    1. сбор;
    2. систематизацию;
    3. накопление;
    4. хранение;
    5. уточнение;
    6. обновление;
    7. изменение;
    8. использование;
    9. обезличивание;
    10. блокирование;
    11. уничтожение;
    12. передачу;
    13. распространение.

  8. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    В зависимости от информационной системы, используемой Оператором обработка персональных данных может осуществляться путем:

    1. смешанной обработки с передачей по внутренней сети Оператора с передачей по сети интернет;
    2. автоматизированной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;
    3. смешанной обработки без передачи по внутренней сети Оператора без передачи по сети интернет.

  9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Обработка персональных данных Оператором, в том числе их хранение, осуществляется в течении сроков, установленных действующим законодательством, а также локальными нормативными актами.

  10. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

    Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

    Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора.

    Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

    В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

    Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей ООО «МОСТИНФО», при замещении которых осуществляется обработка персональных данных.

    Оператор осуществляет передачу персональных данных государственным органам в рамках и в соответствии с законодательством РФ.

    Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

    Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

    Оператор обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.

    Хранение .материальных носителей персональных данных осуществляется Оператором с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

    При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

    1. иное не предусмотрено договором;
    2. оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или иными федеральными законами;
    3. иное не предусмотрено иным соглашением между оператором и Субъектом персональных данных.

    Обработка персональных данных осуществляется с соблюдением конфиденциальности.

  11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

    Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

    Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

  12. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

    Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

    1. назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
    2. ограничение состава лиц, допущенных к обработке персональных данных;
    3. ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
    4. организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
    5. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
    6. разработка на основе модели угроз системы защиты персональных данных;
    7. проверка готовности и эффективности использования средств защиты информации;
    8. разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
    9. регистрация и учет действий пользователей информационных систем персональных данных;
    10. использование антивирусных средств и средств восстановления системы защиты персональных данных;
    11. применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
    12. организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

  13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

    Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

    Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

    К настоящей Политике обеспечивается неограниченный доступ.

    Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

    Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «МОСТИНФО».