1. Назначение и область действия документа
Политика в отношении обработки персональных данных определяет позицию и намерения ИП Роменский Д.Д. (далее – Компания) в области обработки и защиты персональных данных лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией, соблюдения прав и основ свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также обеспечении их целостности и сохранности.
Политика предназначена для изучения и неукоснительного исполнения руководителями и сотрудниками всех структурных подразделений Компании, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Компанией (далее по тексту граждане) партнеров и других заинтересованных сторон.
2. Цель и принципы обработки персональных данных
Одна из приоритетных задач в работе Компании – соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных».
Данный документ направлен на достижение следующей цели – доведение до сведения субъектов Персональных данных позиции и намерений Компании в области обработки и защиты персональных данных.
Под Персональными данными (далее – ПДн) понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъект персональных данных), к такой информации, в частности можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другую информацию.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу, (распространение, предоставление доступ) обезличивание, блокирование, удаление, уничтожение персональных данных.
Целью сбора, обработки, хранения, а так же других действий с персональными данными сотрудников, клиентов или третьих лиц (далее субъектов персональных данных) является исполнение обязательств Компании по договору с ними.
При обработке персональных данных субъектов реализуются следующие принципы:
Соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации);
Обработка персональных данных исключительно с целью исполнения обязательств по гражданско-правовым, трудовым договорам;
Сбор только тех персональных данных, которые минимально необходимы и достаточными для достижения заявленных целей обработки;
Обработка персональных данных в Компании ограничивается достижением конкретных, заранее определенных и законных целей;
Выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
Компания уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей;
Соблюдение прав субъекта персональных данных на доступ к его персональным данным.
3. Состав и способы обработки персональных данных
В состав обрабатываемых в Компании персональных данных могут входить: фамилия, имя, отчество; дата рождения или возраст; номер телефона, адрес электронной почты; другая информация, необходимая для исполнения договорных обязательств.
Компания не обрабатывает персональные данные, касающиеся состояния здоровья, интимной жизни, членства в общественных объединениях, профессиональных профсоюзов, вероисповедания, национальности, расовой принадлежности, политических, религиозных, философских и иных убеждений субъекта.
Персональные данные Компания получает только лично от субъекта. Компания вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.
В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу персональных данных граждан. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определяется перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
Компания не осуществляет трансграничную передачу персональных данных на территорию иностранного государства.
Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
Ознакомление сотрудника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными; взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
Получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные.
Периодически в Компании проводятся занятия с сотрудниками, обрабатывающими персональные данные, по тематикам информационной безопасности и правилам работы с информацией конфиденциального характера.
4. Хранение персональных данных
Персональные данные субъектов хранятся в бумажном (договор, согласие на обработку персональных данных) и электронном виде. В электронном виде персональные данные хранятся в информационных системах персональных данных Компании, а также в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационных систем персональных данных определены в инструкции о резервном копировании, которая является обязательной к исполнению администраторами соответствующих систем.
При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К ним относятся:
Назначение отдела (подразделения) или лица ответственного за тот или иной способ хранения персональных данных;
Ограничение физического доступа к местам хранения и носителям, путем хранения в запираемых шкафах, либо помещениях с ограниченным правом доступа;
Учет всех информационных систем и электронных носителей, а также архивных копий;
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) и на информационных системах персональных данных;
Хранение персональных данных в форме позволяющей определить субъект персональных данных, осуществляется не дольше, чем это требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5. Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в Компании достигается следующими мерами:
Назначением сотрудника, ответственного за организацию обработки персональных данных;
Проведением внутреннего аудита информационных систем, содержащих персональные данные;
Разработкой частной модели угроз безопасности персональных данных;
Назначением для каждой информационной системы ответственного администратора;
Определением списка лиц, допущенных к работе с персональными данными;
Разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных, разработкой для операторов и администраторов информационных систем рабочих инструкций;
Реализацией технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
Проведением периодических проверок состояния защищенности информационных систем.
6. Уничтожение персональных данных
Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера;
Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя;
Факт уничтожения подтверждается актом об уничтожении носителей.
7. Передача персональных данных
Персональные данные передаются третьим лицам, только если субъект выразил свое согласие на такие действия или передача предусмотрена российским законодательством в рамках установленной законодательством процедуры;
Перечень третьих лиц, которым передаются персональные данные:
пенсионный фонд РФ для учета (на законных основаниях); налоговые органы РФ (на законных основаниях); фонд социального страхования РФ (на законных основаниях); территориальный фонд обязательного медицинского страхования (на законных основаниях); страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); органы МВД России в случаях, установленных законодательством; банки для начисления заработной платы (на основании договора).
8. Пересмотр положений Политики
Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также при изменении законодательства Российской Федерации в области персональных данных.
После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте. По результатам контроля выполнения требований по обработке и защите персональных данных; При изменении контактной информации Компании; По решению руководства Компании.
9. Права субъекта в части обработки персональных данных
Субъект персональных данных, персональные данные которого обрабатываются в Компании, имеет право получать от Компании:
подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; сведения о применяемых Компанией способах обработки персональных данных; наименование и место нахождения Компании; сведения о лицах (за исключением работников Компании), которые имеют доступ к персональных данным или которые могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона; перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъекта персональных данных прав, предусмотренных Федеральным законом «О персональных данных» № 152 – ФЗ информацию или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению Компании; иные сведения, предусмотренные Федеральными законами «О персональных данных» 152-ФЗ или другими федеральными законами; требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отозвать свое согласие на обработку персональных данных; требовать устранения неправомерных действий Компаний в отношении его персональных данных; обжаловать действия или бездействие в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случае, если субъектов персональных данных считает, что Компании осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы; на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
10. Ответственность
В случае нарушения положений настоящей Политики Компания несет ответственность в соответствии действующим законодательством Российской Федерации. Сотрудники Компании несут персональную ответственность за нарушения положений настоящей Политики в рамках Трудового законодательства и законодательства Российской Федерации в области персональных данных.