Перечень принятых сокращений
-
152-ФЗ Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- АО Акционерное общество
- ИСПДн Информационная система персональных данных
- НСД Несанкционированный доступ
- Оператор АО «Инфосистемы Джет»
- ПДн Персональные данные
- Политика Политика в отношении обработки персональных данных в АО «Инфосистемы Джет»
- РФ Российская Федерация»
Перечень терминов и определений
-
Актуализация – проверка документа на соответствие требованиям законодательства РФ, требованиям бизнес-деятельности и т.п., по результатам которой в текст документа могут быть внесены изменения.
- Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному физическому или юридическому лицу либо определенному кругу физических или юридических лиц.
- Работник – физическое лицо, вступившее в трудовые отношения с Оператором.
- Субъект персональных данных – физическое лицо, которое прямо или косвенно определено либо определяемо с помощью персональных данных.
- Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1. Основные положения
Настоящая Политика в отношении обработки персональных данных в АО «Инфосистемы Джет» (далее – Политика) подготовлена в соответствии с требованиями Федерального закона РФ №152-ФЗ «О персональных данных» от 27 июля 2006 г. (далее – 152-ФЗ) и определяет позицию АО «Инфосистемы Джет», юридический адрес: 127015, г. Москва, ул. Большая Новодмитровская, д. 14, стр. 2, эт. 6, ком. 13, оф. 2.654 (далее – Оператор), в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод субъекта ПДн.
Политика начинает действовать с момента её подписания.
Политика распространяется на ПДн, полученные как до, так и после ввода её в действие.
Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан РФ и граждан других государств, Оператор обеспечивает надёжную защиту ПДн.
С учётом требований 152-ФЗ, а также других нормативно-правовых актов РФ, предусматривающих случаи и особенности обработки ПДн, Оператором утверждаются локальные нормативные документы (вносятся изменения в действующие локальные нормативные документы), определяющие особенности обработки ПДн отдельных категорий субъектов ПДн.
Если в результате изменения законодательных и нормативно-правовых актов РФ отдельные пункты настоящей Политики вступают с ними в противоречие, эти пункты утрачивают силу. До момента внесения изменений в настоящую Политику работники Оператора и иные лица, указанные в Политике, руководствуются законодательными и нормативно-правовыми актами РФ.
2. Положения политики
2.1 Цели обработки ПДн
В рамках настоящей Политики обработка ПДн Оператором осуществляется в следующих целях:
- рассмотрение кандидатуры на вакантную Оператором должность или участия в программе стажировки;
- кадровый и бухгалтерский учет;
- обеспечение трудового законодательства РФ;
- формирование справочников и материалов для внутреннего информационного обеспечения деятельности Оператора;
- поддержка и мотивация персонала;
- оформление зарплатных карт;
- обучение и повышение квалификации работников Оператора;
- публикация ПДн на корпоративном сайте Оператора, доске почета и в социальных сетях;
- участие в закупках / конкурсных процедурах;
- оформление доверенностей;
- организация, включая заключение, реализацию и поддержку осуществления договорной работы;
- предоставление добровольного медицинского страхования;
- обеспечение пропускного и внутриобъектового режима;
- оказание материальной помощи;
- ознакомление неограниченного круга лиц с информацией, размещенной на интернет-сайтах Оператора;
- исполнение обязанностей, предусмотренных законодательством РФ в части обработки данных акционеров, участников (учредителей), бенефициаров и аффилированных лиц;
- получение информации об услугах Оператора.
2.2 Категории субъектов ПДн
Оператор осуществляет обработку ПДн:
-
соискателей в целях рассмотрения кандидатуры на вакантную Оператором должность или участия в программе стажировки;
-
работников Оператора в целях:
-
кадрового и бухгалтерского учета;
-
обеспечения трудового законодательства РФ;
-
формирования справочников и материалов для внутреннего информационного обеспечения деятельности Оператора;
-
поддержки и мотивации персонала;
-
оформления зарплатных карт;
-
обучения и повышения квалификации работников Оператора;
-
публикации ПДн на корпоративном сайте Оператора, доске почета и в социальных сетях;
-
оказания материальной помощи;
-
обеспечения пропускного и внутриобъектового режима;
-
предоставление добровольного медицинского страхования;
-
уволенных работников Оператора в целях осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации;
-
родственников работников Оператора в целях:
-
кадрового и бухгалтерского учета;
-
оказания материальной помощи;
-
физических лиц, с которыми Оператор заключает договоры гражданско-правового характера в целях организации, включая заключение, реализацию и поддержку осуществления договорной работы;
-
посетителей сайта Оператора в целях:
-
получения информации об услугах Оператора;
-
ознакомления неограниченного круга лиц с информацией, размещенной на интернет-сайтах Оператора;
-
работников сторонних организаций в целях:
-
оформления доверенностей;
-
участия в закупках/конкурсных процедурах;
-
организации, включая заключения, реализации и поддержки осуществления договорной работы;
-
акционеров Оператора в целях исполнения обязанностей, предусмотренных законодательством РФ;
-
бенефициаров Оператора в целях исполнения обязанностей, предусмотренных законодательством РФ;
- аффилированных лиц с Оператором в целях исполнения обязанностей, предусмотренных законодательством РФ.
2.4 Принципы и правила обработки ПДн
При обработке ПДн Оператор придерживается следующих принципов:
-
осуществление обработки ПДн только на законной и справедливой основе;
-
распространение и раскрытие ПДн третьим лицам с согласия субъекта ПДн (если иное не предусмотрено действующим законодательством РФ);
-
определение конкретных законных целей обработки ПДн до начала обработки (в т.ч. сбора) ПДн;
-
сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
-
ограничение обработки ПДн достижением конкретных, заранее определённых и законных целей;
-
уничтожение ПДн по достижении целей обработки или в случае утраты необходимости в достижении целей.
Оператор не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах, а также биометрических персональных данных. Сведения о состоянии здоровья обрабатываются только в объеме, необходимом для соблюдения трудового законодательства РФ.
В случаях, установленных законодательством РФ, Оператор вправе осуществлять передачу ПДн субъектов ПДн третьим лицам (Федеральной налоговой службе, Социальному фонду России и др.).
Оператор вправе поручить обработку ПДн субъекта ПДн третьим лицам с согласия субъекта ПДн (когда данное согласие необходимо в соответствии с требованиями законодательства РФ) и на основании заключаемого с этими лицами договора.
Лица, осуществляющие обработку ПДн на основании заключаемого с Оператором договора (поручения Оператора), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные 152-ФЗ. Для каждого такого лица в договоре определяется перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, указываются требования к защите обрабатываемых ПДн в соответствии с 152-ФЗ.
В случае трансграничной передачи ПДн, до начала передачи Оператор выполняет процедуры, установленные законодательством РФ.
В целях исполнения требований действующего законодательства РФ и договорных обязательств, обработка ПДн Оператором осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки ПДн включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
Оператором запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.
2.5 Права и обязанности субъектов ПДн, а также Оператора в части обработки ПДн
Субъект ПДн, ПДн которого обрабатываются Оператором, имеет предусмотренные 152-ФЗ права, включая:
Оператор в процессе обработки ПДн выполняет обязанности, предусмотренные 152-ФЗ.
2.6 Требования к защите ПДн
Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
К таким мерам в соответствии с 152-ФЗ относятся следующие:
- назначение ответственного за организацию обработки ПДн;.
- разработка и утверждение локальных нормативных документов по вопросам обработки и защиты ПДн;.
- применение правовых, организационных и технических мер по обеспечению безопасности ПДн:.
- определение угроз безопасности ПДн при их обработке в ИСПДн;.
- применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости ПДн;.
- применение средств защиты информации;.
- учёт машинных носителей ПДн;.
- обнаружение фактов НСД к ПДн и принятие мер по недопущению подобных инцидентов в дальнейшем;
- восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;.
- установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учёта всех действий, совершаемых с ПДн в ИСПДн;.
- контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищённости ИСПДн;.
- соблюдение условий, исключающих НСД к бумажным носителям ПДн и обеспечивающих сохранность ПДн;.
- ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн.
2.7 Сроки обработки ПДн
Сроки обработки ПДн определяются, исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн и нормативно-правовыми актами Российской Федерации, определяющими сроки хранения документов, образующихся в процессе деятельности организации.
ПДн, обрабатываемые Оператором, подлежат уничтожению в следующих случаях:
- при достижении цели обработки ПДн или в случае утраты необходимости в достижении цели обработки ПДн, если иное не предусмотрено законодательством РФ;
- при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн;
- при выявлении факта неправомерной обработки ПДн;
- при отзыве субъектом ПДн согласия, если иное не предусмотрено законодательством РФ.
2.8 Порядок получения разъяснений по вопросам обработки ПДн
Субъекты ПДн, ПДн которых обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих ПДн (в том числе отозвать свое согласие на обработку ПДн), обратившись лично к Оператору или направив соответствующий письменный запрос по адресу местонахождения центрального офиса Оператора: 127015, город Москва, Большая Новодмитровская ул., д. 14 стр. 2, эт. 6, ком. 13, оф. 2.654 (юридический адрес).
В случае направления официального запроса Оператору, в тексте запроса необходимо указать:
- ФИО субъекта ПДн или его представителя;
- номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие наличие у субъекта ПДн отношений с Оператором;
- подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
3. Гарантии конфиденциальности
Информация, относящаяся к ПДн, ставшая известной в связи с реализацией трудовых отношений является конфиденциальной информацией и охраняется в соответствии с положениями 152-ФЗ.
Работники Оператора и иные лица, получившие доступ к обрабатываемым ПДн, предупреждены о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПДн.
4. Обязанности и ответственность
Работники Оператора и иные лица, состоящие в договорных отношениях с Оператором, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут гражданско-правовую, дисциплинарную, административную или уголовную ответственность в порядке, установленном законодательством РФ, трудовым договором или иным договором.
Разглашение ПДн субъекта ПДн (передача их посторонним лицам, в том числе работникам Оператора, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта ПДн, а также иные нарушения обязанностей по их защите и обработке, установленных настоящей Политикой, иными локальными нормативными документами Оператора, влечёт наложение на работника, имеющего доступ к ПДн субъектов ПДн, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник Оператора, имеющий доступ к ПДн субъектов ПДн и совершивший вышеуказанный дисциплинарный проступок, несёт полную материальную ответственность в случае причинения его действиями ущерба Оператора (п. 7 ч. 1 ст. 243 Трудового кодекса РФ).
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.