Политика конфиденциальности

1. Назначение и область действия документа

Политика в отношении обработки персональных данных определяет позицию и намерения ИП Роменский Д.Д. (далее – Компания) в области обработки и защиты персональных данных лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией, соблюдения прав и основ свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также обеспечении их целостности и сохранности.

Политика предназначена для изучения и неукоснительного исполнения руководителями и сотрудниками всех структурных подразделений Компании, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией (далее по тексту граждане) партнеров и других заинтересованных сторон.

2. Цель и принципы обработки персональных данных

Одна из приоритетных задач в работе Компании – соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных».

Данный документ направлен на достижение следующей цели – доведение до сведения субъектов Персональных данных позиции и намерений Компании в области обработки и защиты персональных данных.

Под Персональными данными (далее – ПДн) понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъект персональных данных), к такой информации, в частности можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу, (распространение, предоставление доступ) обезличивание, блокирование, удаление, уничтожение персональных данных.

Целью сбора, обработки, хранения, а так же других действий с персональными данными сотрудников, клиентов или третьих лиц (далее субъектов персональных данных) является исполнение обязательств Компании по договору с ними.

При обработке персональных данных субъектов реализуются следующие принципы:

Соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;

Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации);

Обработка персональных данных исключительно с целью исполнения обязательств по гражданско-правовым, трудовым договорам;

Сбор только тех персональных данных, которые минимально необходимы и достаточными для достижения заявленных целей обработки;

Обработка персональных данных в Компании ограничивается достижением конкретных, заранее определенных и законных целей;

Выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей;

Соблюдение прав субъекта персональных данных на доступ к его персональным данным.

3. Состав и способы обработки персональных данных

В состав обрабатываемых в Компании персональных данных могут входить: фамилия, имя, отчество; дата рождения или возраст; номер телефона, адрес электронной почты; другая информация, необходимая для исполнения договорных обязательств.

Компания не обрабатывает персональные данные, касающиеся состояния здоровья, интимной жизни, членства в общественных объединениях, профессиональных профсоюзов, вероисповедания, национальности, расовой принадлежности, политических, религиозных, философских и иных убеждений субъекта.

Персональные данные Компания получает только лично от субъекта. Компания вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.

В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу персональных данных граждан. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определяется перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

Компания не осуществляет трансграничную передачу персональных данных на территорию иностранного государства.

Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:

Ознакомление сотрудника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными; взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;

Получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные.

Периодически в Компании проводятся занятия с сотрудниками, обрабатывающими персональные данные, по тематикам информационной безопасности и правилам работы с информацией конфиденциального характера.

4. Хранение персональных данных

Персональные данные субъектов хранятся в бумажном (договор, согласие на обработку персональных данных) и электронном виде. В электронном виде персональные данные хранятся в информационных системах персональных данных Компании, а также в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационных систем персональных данных определены в инструкции о резервном копировании, которая является обязательной к исполнению администраторами соответствующих систем.

При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.

К ним относятся:

Назначение отдела (подразделения) или лица ответственного за тот или иной способ хранения персональных данных;

Ограничение физического доступа к местам хранения и носителям, путем хранения в запираемых шкафах, либо помещениях с ограниченным правом доступа;

Учет всех информационных систем и электронных носителей, а также архивных копий;

Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) и на информационных системах персональных данных;

Хранение персональных данных в форме позволяющей определить субъект персональных данных, осуществляется не дольше, чем это требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5. Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных в Компании достигается следующими мерами:

Назначением сотрудника, ответственного за организацию обработки персональных данных;

Проведением внутреннего аудита информационных систем, содержащих персональные данные;

Разработкой частной модели угроз безопасности персональных данных;

Назначением для каждой информационной системы ответственного администратора;

Определением списка лиц, допущенных к работе с персональными данными;

Разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных, разработкой для операторов и администраторов информационных систем рабочих инструкций;

Реализацией технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;

Проведением периодических проверок состояния защищенности информационных систем.

6. Уничтожение персональных данных

Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера;

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя;

Факт уничтожения подтверждается актом об уничтожении носителей.

7. Передача персональных данных

Персональные данные передаются третьим лицам, только если субъект выразил свое согласие на такие действия или передача предусмотрена российским законодательством в рамках установленной законодательством процедуры;

Перечень третьих лиц, которым передаются персональные данные:

пенсионный фонд РФ для учета (на законных основаниях); налоговые органы РФ (на законных основаниях); фонд социального страхования РФ (на законных основаниях); территориальный фонд обязательного медицинского страхования (на законных основаниях); страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); органы МВД России в случаях, установленных законодательством; банки для начисления заработной платы (на основании договора).

8. Пересмотр положений Политики

Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также при изменении законодательства Российской Федерации в области персональных данных.

После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте. По результатам контроля выполнения требований по обработке и защите персональных данных; При изменении контактной информации Компании; По решению руководства Компании.

9. Права субъекта в части обработки персональных данных

Субъект персональных данных, персональные данные которого обрабатываются в Компании, имеет право получать от Компании:

подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; сведения о применяемых Компанией способах обработки персональных данных; наименование и место нахождения Компании; сведения о лицах (за исключением работников Компании), которые имеют доступ к персональных данным или которые могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона; перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъекта персональных данных прав, предусмотренных Федеральным законом «О персональных данных» № 152 – ФЗ информацию или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению Компании; иные сведения, предусмотренные Федеральными законами «О персональных данных» 152-ФЗ или другими федеральными законами; требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отозвать свое согласие на обработку персональных данных; требовать устранения неправомерных действий Компаний в отношении его персональных данных; обжаловать действия или бездействие в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае, если субъектов персональных данных считает, что Компании осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы; на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

10. Ответственность

В случае нарушения положений настоящей Политики Компания несет ответственность в соответствии действующим законодательством Российской Федерации. Сотрудники Компании несут персональную ответственность за нарушения положений настоящей Политики в рамках Трудового законодательства и законодательства Российской Федерации в области персональных данных.