Политика в отношении обработки персональных данных
1.Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет политику ООО «КвалиТЭБ» в отношении обработки и обеспечения безопасности персональных данных (далее-ПД).
1.2. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных.
1.3. Целью настоящей политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Обществе.
1.4. Действие Политики распространяется на все процессы Общества, связанные с обработкой персональных данных.
1.5. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в информационной системе персональных данных.
1.6. На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Общество включено в реестр операторов, осуществляющих обработку персональных данных.
1.7. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.
1.8. Текущая редакция Политики размещается на сайте Общества в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.
2.Перечень нормативных документов:
— Трудовой кодекс Российской Федерации;
— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральный закон от 09.02.2007 № 16-ФЗ «О транспортной безопасности»
— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановлением Правительства РФ от 26.02.2015 г. № 172 «О порядке аттестации сил обеспечения транспортной безопасности»;
— Постановление Правительства РФ от 30.07.2014 г. № 725 «Об утверждении Правил аккредитации юридических лиц для проведения проверки в целях принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности, а также для обработки персональных данных отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу»;
— Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— Приказ Росавиации от 06 октября 2015 г. № 644 «О порядке сбора, накопления и хранения органами аттестации (аттестующими организациями) данных аттестации и сведений, связанных с обработкой персональных данных аттестуемых лиц»;
— Иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
3.Термины и определения
Автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники;
Постановление Правительства РФ от 30.07.2014 г. № 725 «Об утверждении Общество – ООО «КвалиТЭБ»», являющееся в рамках Федерального закона «О персональных данных» оператором по обработке ПД, а именно: организующее и (или) осуществляющее самостоятельно или совместно с другими лицами обработку ПД, а также определяющее цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;
Постановление Правительства РФ от 30.07.2014 г. № 725 «Об утверждении Блокирование — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
Постановление Правительства РФ от 30.07.2014 г. № 725 «Об утверждении Информационная система ПД — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств; Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
Постановление Правительства РФ от 30.07.2014 г. № 725 «Об утверждении Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение ПД;
Ответственный за организацию обработки ПД – должностное лицо, которое назначается приказом генерального директора Общества, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации Обработки Персональных данных в Обществе в соответствии с положениями законодательства Российской Федерации в области персональных данных;
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
Предоставление — действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
Распространение — действия, направленные на раскрытие ПД неопределенному кругу лиц;
Субъект ПД — физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных; Трансграничная передача ПД — передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.
4.Категории субъектов ПД, персональные данные которых обрабатываются Общества. Цели Обработки ПД
4.1. Обществом осуществляется обработка полученных в установленном законом порядке ПД, принадлежащих кандидатам на работу и работникам Общества, клиентам — физическим лицам, работникам юридических лиц и индивидуальных предпринимателей, являющихся клиентами Общества.
4.2. Обработка ПД в информационной системе ПД работниками Общества осуществляется в целях осуществления деятельности, предусмотренной уставом Общества, действующим законодательством Российской Федерации, исполнения и прекращения договоров с физическими и юридическими лицами, организации кадрового учета работников Общества, исполнения обязательств по договорам, ведения кадрового делопроизводства, содействия работникам в обучении, пользовании различного вида льготами в соответствии с законодательством Российской Федерации.
5.Перечень ПД, обрабатываемых и подлежащих защите в Обществе
5.1. Перечень ПД, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными актами Общества с учетом целей обработки ПД, указанных в разделе 4 Политики.
5.2. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
6.Основные принципы обработки ПД
6.1. Обработка ПД Обществом осуществляется на основе принципов:
— законности целей и способов обработки ПД;
— добросовестности Общества, как оператора ПД, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки ПД;
— соответствия состава и объема обрабатываемых ПД, а также способов обработки ПД заявленным целям обработки;
— точности и достаточности, а в необходимых случаях и актуальности ПД по отношению к заявленным целям их Обработки;
— уничтожения ПД по достижении целей Обработки способом, исключающим возможность их восстановления;
— недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
6.2. Работники Общества, допущенные к обработке ПД, обязаны:
6.2.1. Знать и неукоснительно выполнять положения:
— законодательства Российской Федерации в области ПД;
— настоящей Политики;
— локальных актов Общества по вопросам обработки и обеспечения безопасности ПД;
6.2.2. Обрабатывать ПД только в рамках выполнения своих должностных обязанностей;
6.2.3. Не разглашать ПД, обрабатываемые в Обществе;
6.2.4. Сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
6.2.5. Сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки ПД в Обществе.
6.3. Безопасность Персональных данных в Обществе обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПД, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы Информационных систем ПД в случае реализации угроз.
7.Организация обработки ПД
7.1. Общество осуществляет обработку ПД без использования средств автоматизации.
7.2. Общество вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, обязательным условием которого является соблюдение этим лицом принципов и правил обработки ПД, предусмотренных Федеральным законом «О персональных данных».
7.3. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации.
7.4. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к ПД, обрабатываемым в Обществе, в объеме и порядке, установленном законодательством Российской Федерации.
7.5. Обработка Персональных данных в Обществе осуществляется с согласия субъекта ПД кроме случаев, установленных законодательством Российской Федерации.
7.6. В ходе своей деятельности Общество не осуществляет трансграничную передачу персональных данных.
8.Права субъекта ПД
8.1. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
— подтверждение факта обработки ПД Обществом;
— правовые основания и цели обработки ПД;
— цели и применяемые Обществом способы обработки ПД;
— наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или на основании федерального закона;
— обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки ПД, в том числе сроки их хранения;
— порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом «О персональных данных»;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.2. Право субъекта ПД на получение информации, касающейся обработки его ПД, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».
8.3. Согласие на обработку ПД может быть отозвано субъектом ПД. В случае отзыва субъектом ПД согласия на обработку ПД Общество вправе продолжить обработку ПД данных без согласия субъекта ПД при наличии оснований, указанных в Федеральном законе «О персональных данных».
8.4. Субъект ПД имеет также иные права, установленные Федеральным законом «О персональных данных».
9.Обязанности Общества
9.1. В случаях, установленных законодательством Российской Федерации в области ПД, Общество обязано предоставить субъекту ПД или его представителю при обращении либо при получении запроса от субъекта ПД данных или его представителя информацию, предусмотренную п. 8.1 настоящей Политики.
9.2. Общество при сборе ПД, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».
9.3. Общество несет иные обязанности, установленные Федеральным законом «О персональных данных».
10.Меры, направленные на обеспечение выполнения обязанностей Общества по обработке и защите ПД
10.1 Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами.
10.2. В Обществе принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» в области обработки ПД:
— назначается ответственный за организацию обработки ПД;
— издаются: Политика в отношении обработки ПД, локальные акты по вопросам обработки ПД, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применяются правовые, организационные и технические меры по обеспечению безопасности ПД в соответствии с Федеральным законом «О персональных данных»;
— осуществляется внутренний контроль и (или) аудит соответствия обработки ПД в Обществе Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Общества в отношении обработки ПД, локальным актам в области обработки и обеспечения безопасности ПД;
— осуществляется ознакомление работников Общества, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, документами, определяющими политику Общества в отношении обработки ПД, локальными актами Общества по вопросам обработки ПД, и (или) обучение указанных работников.
10.3. С целью обеспечения безопасности ПД при их обработке, Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПД от неправомерного и случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД, в частности:
— определяются угрозы безопасности ПД при их обработке в информационных системах ПД;
— применяются организационные и технические меры по обеспечению безопасности ПД при их обработке в Информационных системах ПД, необходимые для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
— осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию Информационной системы ПД;
— осуществляется учет машинных носителей ПД;
— проводятся мероприятия по обнаружению фактов несанкционированного доступа к ПД и принятию соответствующих мер;
— обеспечивается возможность восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— устанавливаются правила доступа к Пд, обрабатываемым в Информационной системе ПД, а также обеспечивается регистрация и учет действий, совершаемых с ПД в информационной системе ПД;
— осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности Информационных систем ПД.
11.Ответственность
11.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПД в Обществе.
11.2. Лица, виновные в нарушении норм, регулирующих обработку ПД и защиту обрабатываемых в Обществе ПД, несут предусмотренную законодательством Российской Федерации ответственность.
Санкт-Петербург, 2016 год