Политика в отношении обработки персональных данных

Перечень принятых сокращений

152-ФЗ Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

ООО Общество с ограниченной ответственностью

ИСПДн Информационная система персональных данных

НСД Несанкционированный доступ

Оператор ООО “Джет Софт”

ПДн Персональные данные

Политика Политика в отношении обработки персональных данных в ООО “Джет Софт”

РФ Российская Федерация

Перечень терминов и определений

Актуализация – проверка документа на соответствие требованиям законодательства РФ, требованиям бизнес-деятельности и т.п., по результатам которой в текст документа могут быть внесены изменения.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному физическому или юридическому лицу либо определенному кругу физических или юридических лиц.

Работник – физическое лицо, вступившее в трудовые отношения с Оператором.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено либо определяемо с помощью персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1. Основные положения

Настоящая Политика в отношении обработки персональных данных в ООО“Джет Софт” (далее – Политика) подготовлена в соответствии с требованиями Федерального закона РФ №152-ФЗ «О персональных данных» от 27 июля 2006 г. (далее – 152-ФЗ) и определяет позицию ООО“Джет Софт”, юридический адрес: 107113, г. Москва, вн. тер. г. муниципальный округ Сокольники, ул. Лобачика, д.17 (далее – Оператор), в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод субъекта ПДн.

Политика начинает действовать с момента её подписания.

Политика распространяется на ПДн, полученные как до, так и после ввода её в действие.

Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан РФ и граждан других государств, Оператор обеспечивает надёжную защиту ПДн.

С учётом требований 152-ФЗ, а также других нормативно-правовых актов РФ, предусматривающих случаи и особенности обработки ПДн, Оператором утверждаются локальные нормативные документы (вносятся изменения в действующие локальные нормативные документы), определяющие особенности обработки ПДн отдельных категорий субъектов ПДн.

Если в результате изменения законодательных и нормативно-правовых актов РФ отдельные пункты настоящей Политики вступают с ними в противоречие, эти пункты утрачивают силу. До момента внесения изменений в настоящую Политику работники Оператора и иные лица, указанные в Политике, руководствуются законодательными и нормативно-правовыми актами РФ.

2. Положения Политики

2.1. Цели обработки ПДн

В рамках настоящей Политики обработка ПДн Оператором осуществляется в следующих целях:

  • рассмотрение кандидатуры на вакантную Оператором должность или участия в программе стажировки;
  • публикация ПДн на корпоративном сайте Оператора, доске почета и в социальных сетях;
  • обеспечение пропускного и внутриобъектового режима;
  • обеспечение посещения офиса Оператора с целью получения информации о продуктах и услугах Оператора;
  • ознакомление неограниченного круга лиц с информацией, размещенной на интернет-сайтах Оператора;
  • направление информационных и новостных коммуникаций о сервисах, продуктах и мероприятиях Оператора;
  • обеспечение участия в мероприятиях и опросах, посещения офиса Оператора с целью получения информации о продуктах и услугах Оператора;
  • розыгрыш продукции;
  • выполнение аналитического исследования рыночных тенденций, схем взаимоотношений и перспектив для осуществления продаж;
  • реагирование на обращения и предоставление ответов на запросы о дополнительной информации и справочных материалов.

2.2. Категории субъектов ПДн

Оператор осуществляет обработку ПДн:

  • соискателей в целях рассмотрения кандидатуры на вакантную Оператором должность или участия в программе стажировки;
  • посетителей сайта Оператора в целях:
    • ознакомление неограниченного круга лиц с информацией, размещенной на интернет-сайтах Оператора;
    • направление информационных и новостных коммуникаций о сервисах, продуктах и мероприятиях Оператора;
    • обеспечение участия в мероприятиях и опросах, посещения офиса Оператора с целью получения информации о продуктах и услугах Оператора;
    • розыгрыш продукции;
    • выполнение аналитического исследования рыночных тенденций, схем взаимоотношений и перспектив для осуществления продаж;
    • реагирование на обращения и предоставление ответов на запросы о дополнительной информации и справочных материалов.

2.3. Правовые основания обработки ПДн

Оператор осуществляет обработку ПДн, руководствуясь действующим законодательством РФ, а также следующими правовыми основаниями:

  • договоры со сторонними организациями;
  • согласие субъекта ПДн на обработку ПДн.

2.4. Принципы и правила обработки ПДн

При обработке ПДн Оператор придерживается следующих принципов:

  • осуществление обработки ПДн только на законной и справедливой основе;
  • распространение и раскрытие ПДн третьим лицам с согласия субъекта ПДн (если иное не предусмотрено действующим законодательством РФ);
  • определение конкретных законных целей обработки ПДн до начала обработки (в т.ч. сбора) ПДн;
  • сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
  • ограничение обработки ПДн достижением конкретных, заранее определённых и законных целей;
  • уничтожение ПДн по достижении целей обработки или в случае утраты необходимости в достижении целей.
  • Оператор не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, а также биометрических персональных данных. Сведения о состоянии здоровья обрабатываются только в объеме, необходимом для соблюдения трудового законодательства РФ.
  • Оператор вправе поручить обработку ПДн субъекта ПДн третьим лицам с согласия субъекта ПДн (когда данное согласие необходимо в соответствии с требованиями законодательства РФ) и на основании заключаемого с этими лицами договора.
  • Лица, осуществляющие обработку ПДн на основании заключаемого с Оператором договора (поручения Оператора), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные 152-ФЗ. Для каждого такого лица в договоре определяется перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, указываются требования к защите обрабатываемых ПДн в соответствии с 152-ФЗ.
  • В целях исполнения требований действующего законодательства РФ и договорных обязательств, обработка ПДн Оператором осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки ПДн включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
  • Оператором запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

2.5. Права и обязанности субъектов ПДн, а также Оператора в части обработки ПДн

Субъект ПДн, ПДн которого обрабатываются Оператором, имеет предусмотренные 152-ФЗ права, включая:

  • получать от Оператора:
    • подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
    • сведения о правовых основаниях и целях обработки ПДн;
    • сведения о применяемых Оператором способах обработки ПДн;
    • сведения о наименовании и местонахождении Оператора;
    • сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании 152-ФЗ;
    • перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен 152-ФЗ;
    • сведения о сроках обработки ПДн, в том числе о сроках их хранения;
    • сведения о порядке осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
    • сведения об осуществлённой или о предполагаемой трансграничной передаче ПДн;
    • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные 152-ФЗ или другими нормативно-правовыми актами РФ;
  • требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случаях, предусмотренных законодательством РФ;
  • отозвать своё согласие на обработку ПДн;
  • требовать устранения неправомерных действий Оператора в отношении его ПДн;
  • обжаловать действия или бездействие Оператора в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке, в случае если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы;
  • защищать свои права и законные интересы, в том числе возмещать убытки и/или компенсировать (в судебном порядке) моральный вред.

Оператор в процессе обработки ПДн выполняет обязанности, предусмотренные 152-ФЗ.

2.6. Требования к защите ПДн

Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

К таким мерам в соответствии с 152-ФЗ относятся следующие:

  • назначение ответственного за организацию обработки ПДн;
  • разработка и утверждение локальных нормативных документов по вопросам обработки и защиты ПДн;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
    • определение угроз безопасности ПДн при их обработке в ИСПДн;
    • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости ПДн;
  • применение средств защиты информации;
  • учёт машинных носителей ПДн;
  • обнаружение фактов НСД к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учёта всех действий, совершаемых с ПДн в ИСПДн;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищённости ИСПДн;
  • соблюдение условий, исключающих НСД к бумажным носителям ПДн и обеспечивающих сохранность ПДн;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн.

2.7. Сроки обработки ПДн

Сроки обработки ПДн определяются, исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн и нормативно-правовыми актами Российской Федерации, определяющими сроки хранения документов, образующихся в процессе деятельности организации.

ПДн, обрабатываемые Оператором, подлежат уничтожению в следующих случаях:

  • при достижении цели обработки ПДн или в случае утраты необходимости в достижении цели обработки ПДн, если иное не предусмотрено законодательством РФ;
  • при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн;
  • при выявлении факта неправомерной обработки ПДн;
  • при отзыве субъектом ПДн согласия, если иное не предусмотрено законодательством РФ.

2.8. Порядок получения разъяснений по вопросам обработки ПДн

Субъекты ПДн, ПДн которых обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих ПДн (в том числе отозвать свое согласие на обработку ПДн), обратившись лично к Оператору или направив соответствующий письменный запрос по адресу местонахождения центрального офиса Оператора: 127015, г. Москва, ул. Б. Новодмитровская, д. 14, стр. 2 (почтовый адрес).

В случае направления официального запроса Оператору, в тексте запроса необходимо указать:

  • ФИО субъекта ПДн или его представителя;
  • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие наличие у субъекта ПДн отношений с Оператором;
  • подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

3. Гарантии конфиденциальности

Информация, относящаяся к ПДн, ставшая известной в связи с реализацией трудовых отношений, является конфиденциальной информацией и охраняется в соответствии с положениями 152-ФЗ.

Работники Оператора и иные лица, получившие доступ к обрабатываемым ПДн, предупреждены о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПДн.

4. Обязанности и ответственность

Работники Оператора и иные лица, состоящие в договорных отношениях с Оператором, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут гражданско-правовую, дисциплинарную, административную или уголовную ответственность в порядке, установленном законодательством РФ, трудовым договором или иным договором.

Разглашение ПДн субъекта ПДн (передача их посторонним лицам, в том числе работникам Оператора, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта ПДн, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, иными локальными нормативными документами Оператора, влечёт наложение на работника, имеющего доступ к ПДн субъектов ПДн, дисциплинарного взыскания – замечания, выговора, увольнения.

Работник Оператора, имеющий доступ к ПДн субъектов ПДн и совершивший вышеуказанный дисциплинарный проступок, несёт полную материальную ответственность в случае причинения его действиями ущерба Оператора (п. 7 ч. 1 ст. 243 Трудового кодекса РФ).

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.

5. Заключительные положения

Настоящая Политика является локальным нормативным документом Оператора.

Все изменения в настоящий документ вносятся и утверждаются согласно установленному у Оператора порядку.

Актуализация Политики осуществляется в любом из следующих случаев:

  • по решению руководства Оператора;
  • при изменении законодательства РФ в области обеспечения защиты и обработки ПДн;
  • в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
  • при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Оператора.