Содержание
1.3. Перечень используемых сокращений.
2. Принципы обработки персональных данных.
3. Цели, состав и основания обработки персональных данных.
3.3. Обработка персональных данных в целях замещения вакантных должностей Общества.
3.4. Обработка персональных данных, разрешенных субъектом для распространения.
4. Условия обработки персональных данных.
5. Конфиденциальность персональных данных.
6. Обеспечение безопасности персональных данных.
7. Права субъекта персональных данных.
1. Введение
1.1. Общие сведения
С целью обеспечения выполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Общество определяет важнейшими задачами:
— обеспечение законности обработки персональных данных в Обществе;
— обеспечение надлежащего уровня безопасности обрабатываемых в Обществе персональных данных.
Действие настоящей Политики распространяется на все процессы обработки персональных данных, осуществляемые Обществом.
Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных», федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы ФСТЭК России и ФСБ России.
Настоящая Политика подлежит опубликованию на сайте Общества с предоставлением неограниченного доступа к ней, как документ, определяющий политику Общества в отношении обработки персональных данных.
1.2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных – состояние защищенности персональных данных от неправомерных действий, характеризуемое способностью пользователей, технических средств и информационных систем обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке, независимо от формы их представления.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступность персональных данных – возможность беспрепятственного получения санкционированного доступа к персональным данным лицами, имеющими право на такой доступ.
Защита информации—деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Конфиденциальность персональных данных—обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не допускать их распространения при отсутствии согласия субъекта персональных данных или иного законного основания.
Несанкционированный доступ к информации—доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание персональных данных—действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных—любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные —любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных—действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных—действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средство защиты информации—программное или программно-аппаратное средство, предназначенное для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
Угрозы безопасности персональных данных—совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных—действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Целостность персональных данных—способность средства вычислительной техники или информационной системы обеспечивать неизменность персональных данных в условиях случайного и/или преднамеренного их искажения (разрушения).
1.3. Перечень используемых сокращений
Общество – Акционерное общество «Винтегра Секьюрити»
2. Принципы обработки персональных данных
Обработка персональных данных в Обществе осуществляется на законной и справедливой основе в соответствии со следующими принципами:
— Общество осуществляет обработку персональных данных с соблюдением принципов, правил и в случаях, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с учётом защиты интересов сторон процесса обработки;
— обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
— хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. Цели, состав и основания обработки персональных данных
В Обществе ведется обработка персональных данных в целях:
— выполнения Обществом как работодателем своих функций и обязанностей;
— обеспечения надлежащего исполнения условий договоров контрагентами;
— замещения вакантных должностей Общества.
Приведённый в п. 3.1, 3.2, 3.3перечень обрабатываемых данных является исчерпывающим. При этом в исключительных случаях допускается сбор дополнительных данных о субъекте, что в обязательном порядке отражается в согласии субъекта на обработку его персональных данных либо в составе договора, заключаемого с субъектом.
Сбор и обработка специальных категорий персональных данных и биометрических персональных данных не осуществляется.
Общество не осуществляет обработку персональных данных в целях рекламы, продвижения товаров и услуг или политической агитации.
Общество не занимается созданием общедоступных источников персональных данных.
Состав персональных данных должен соответствовать принципу их достаточности для достижения целей обработки. Контролируется отсутствие избыточности обрабатываемых персональных данных.
3.1. Обработка персональных данных в целях выполнения Обществом как работодателем своих функций и обязанностей
В целях выполнения Обществом как работодателем своих функций и обязанностей: соблюдение законов и иных нормативных правовых актов, исполнение заключенных трудовых договоров, в том числе содействие работникам в обучении, повышении квалификации и продвижении по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы и обеспечения сохранности имущества;расчет и выплата заработной платы, иных начислений, расчет и перечисление налогов и страховых взносов; ведение воинского учёта; предоставление работникам дополнительных услуг за счет работодателя (перечисление доходов на платежные карты, страхование за счет работодателя, обеспечение командировок) и материальной помощи, выплата алиментов и иных удержаний; предоставление работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, Общество осуществляет обработку следующих персональных данных работников Общества:
— фамилия, имя, отчество;
— дата и место рождения;
— пол;
— гражданство;
— реквизиты документа, удостоверяющего личность;
— адрес проживания и прописки;
— семейное положение;
— сведения о месте работы и должности, профессии;
— сведения о финансовом положении;
— доходы;
— страховой номер индивидуального лицевого счета (СНИЛС);
— данные воинского учета;
— сведения об образовании, о квалификации или наличии социальных знаний, ученой степени;
— сведения о повышении квалификации и профессиональной переподготовке;
— стаж работы, сведения о предыдущих местах работы и занимаемых должностях, указанные в трудовой книжке;
— реквизиты банковского счета;
— номер телефона;
— адрес электронной почты;
— сведения о наличии инвалидности;
— сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования;
— сведения об участии в органах управления других организаций;
— идентификационный номер налогоплательщика (ИНН);
— сведения о праве на получение налоговых вычетов и льгот;
— реквизиты документа, содержащего сведения о смерти, и следующих персональных данных родственников работников Общества, необходимых для оформления кадровой номенклатуры дел (унифицированной формы Т-2):
— фамилия, имя, отчество;
— степень родства;
— год рождения.
Обработка персональных данных работника и его родственников в целях выполнения Обществом как работодателем своих функций и обязанностей осуществляется на основании необходимости такой обработки для исполнения требований федерального законодательства Российской Федерации, необходимости такой обработки для выполнения условий трудовых договоров, заключаемых с работниками, и на основании согласия субъекта персональных данных на обработку его персональных данных.
Обработка осуществляется как автоматизированно, так и без использования средств автоматизации.Для обработки персональных данных могут осуществляться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ).
Обработка персональных данных работника и его родственников осуществляется в течение срока действия его трудовых отношений с Обществом. После прекращения трудовых отношений работника обработке и хранению подлежат только те документы, содержащие персональные данные уволенного работника, срок хранения которых установлен законодательством Российской Федерации.
3.2. Обработка персональных данных в целях обеспечения надлежащего исполнения условий договоров контрагентами
В целях обеспечения надлежащего исполнения условий договоров контрагентами Общество осуществляет обработку персональных данных субъектов, с которыми заключаются договоры и их представителей:
— фамилия, имя, отчество;
— реквизиты документа, удостоверяющего личность;
— должность;
— страховой номер индивидуального лицевого счета (СНИЛС);
— идентификационный номер налогоплательщика (ИНН);
— сведения об образовании, о квалификации или наличии социальных знаний, ученой степени (для специфических видов деятельности);
— сведения о повышении квалификации и профессиональной переподготовке (для специфических видов деятельности).
Обработка персональных данных субъектов в целях надлежащего исполнения условий договоров контрагентами осуществляется на основании необходимости такой обработки для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обработка осуществляется как автоматизированно, так и без использования средств автоматизации. Для обработки персональных данных контрагентов по договорам и их представителей Обществом могут выполняться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ).
Обработка персональных данных субъектов в целях обеспечения надлежащего исполнения условий договоров контрагентами должна быть прекращена по достижении целей обработки (целей договора), срока обработки, указанного в договоре, или в случае утраты необходимости в достижении этих целей (расторжения договора). При наступлении этих условий, персональные данные субъектов подлежат уничтожению (удалению) либо обезличиванию, за исключением документов, содержащих персональные данных, сроки хранения которых установлены законодательством Российской Федерации.
3.3. Обработка персональных данных в целях замещения вакантных должностей Общества
В целях замещения вакантных должностей Общество осуществляет обработку персональных данных субъектов, претендующих на вакантные должности:
— ФИО;
— пол;
— дата рождения;
— паспортные данные;
— сведения о трудовом стаже;
— страховой номер ПФР;
— адрес прописки;
— данные о гражданстве (страна);
— данные воинского учета (отношение к воинской обязанности, категория запаса,
— воинское звание, состав учета, ВУС, годность к военной службе, отношение к воинскому учету, период службы в армии, участие в войне);
— данные об инвалидности (серия, номер справки об инвалидности, дата выдачи справки, дата установления инвалидности, группа инвалидности, степень ограничения трудовой деятельности, заключение об условиях труда, срок действия справки, дата очередного переосвидетельствования по карте реабилитации, признак «инвалид детства»);
— семейное положение;
— сведения об образовании (вид образования, учебное заведение, специальность, серия и номер диплома, форма обучения, дата окончания учебного заведения);
— номер полиса ОМС;
— иных сведений, предоставляемых в составе резюме.
Обработка персональных данных субъектов в целях замещения вакантных должностей Общества осуществляется на основании согласия субъекта на обработку его персональных данных, данного Обществу или в пользовательском соглашении при использовании сервиса, оказывающего услуги по содействию в поиске работы и кандидатов.
Обработка осуществляется как автоматизированно, так и без использования средств автоматизации.При обработке персональных данных Обществом могут выполняться следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение.
Обработка осуществляется на период принятия решения о приеме либо отказе в приеме на работу соискателя. После принятия решения сведения, предоставленные соискателем, должны быть удалены (уничтожены) в течение 30 дней.
3.4. Обработка персональных данных, разрешенных субъектом для распространения
При необходимости Общество может осуществлять обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Обработка персональных данных, разрешенных субъектом для распространения, допускается только с согласия субъекта персональных данных, оформленного отдельно от иных согласий субъекта на обработку его персональных данных.
В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Общества в установлении субъектом запретов и условий не допускается.
Молчание и бездействие субъекта на при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к Обществу в случае несоблюдения требований к обработке персональных данных, разрешенных для распространения, или обратиться с таким требованием в суд.
4. Условия обработки персональных данных
Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке персональных данных, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.
Общество, в ходе своей деятельности, на основании договора, может предоставлять и (или) поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом, условием такого предоставления и (или) поручения является обязанность третьего лица, осуществляющего обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
Сроки обработки персональных данных (сроки хранения) определяются в соответствии с целями обработки персональных данных и фиксируются для каждой цели обработки и категории субъектов. Сроки хранения также могут устанавливаться договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, требованиями законодательства Российской Федерации и нормативными документами регулятора.
Общество не осуществляет сбор персональных данных о политических, религиозных и иных убеждениях, частной жизни субъекта персональных данных, его членстве в Обществе и иных объединениях, в том числе в профессиональных союзах.
5. Конфиденциальность персональных данных
Общество обеспечивает конфиденциальность персональных данных субъектов в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Доступ к персональным данным и их предоставление третьим лицам ограничены требованиями федерального законодательства Российской Федерации и внутренних нормативных документов Обществаи предоставляется в строгом соответствии с законодательством Российской Федерации.
Работники Общества, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных, которые определены:
— трудовым договором;
— внутренними нормативными документами Общества.
6. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных, технических и программных мер, направленных на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
Для обеспечения безопасности персональных данных при их обработке в Обществе применяются следующие организационно-технические меры:
— внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— ознакомление работников Общества с правилами работы с персональными данными и локальными актами по вопросам обработки персональных данных;
— охранная и пожарная сигнализация;
— система контроля и управления доступом;
— применение средств антивирусной защиты, межсетевого экранирования, резервного копирования;
Объектами защиты являются:
— персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей;
— персональные данные, передаваемые по каналам и линиям связи;
— персональные данные, хранящиеся в документированном виде на бумажных носителях;
— прикладное и системное программное обеспечение серверов, автоматизированных рабочих мест, используемых для обработки персональных данных;
— аппаратные средства программно-технических комплексов, оборудование серверов, автоматизированных рабочих мест, коммуникационное оборудование;
— средства защиты информации информационных систем персональных данных.
Общество реализует кадровую политику (тщательный подбор персонала и мотивации), позволяющий исключить или минимизировать возможность нарушения безопасности персональных данных своими работниками.
7. Права субъекта персональных данных
Субъект персональных данных имеет право:
— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— на получение от Общества информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных;
· правовые основания и цели обработки персональных данных;
· цели и применяемые Обществом способы обработки персональных данных;
· сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
· сроки обработки персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
· информацию об осуществленной или о предполагаемой трансграничной передаче данных;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
— требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— отозвать согласие на обработку своих персональных данных в предусмотренных законом случаях;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Для получения информации, касающейся обработки своих персональных данных, либо направления отзыва согласия на обработку персональных данных субъекта, требования об уточнении, блокировании, уничтожении персональных данных субъект может направить Обществу соответствующее обращение по адресу: 115419, г. Москва 2-й Рощинский проезд, 8с2.
КЛИЕНТЫ
