1.Введение.
1.1. Общие положения.
1.1.1. Политика обработки персональных данных ООО «ПАЛЬМИРА-ГЕО», далее Организация, определяет базовые принципы, подходы и методы защиты персональных данных обрабатываемых в Организация и может быть использована при формировании Положения и иных внутренних документов, регламентирующих защиту персональных данных.
1.1.2. Политика разработана в соответствии с п. 2, ч. 1, ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», установившего обязанность «издания оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных…». Организация, как юридическое лицо, осуществляющее обработку персональных данных, должна разработать и издать такую Политику, равно как и иные «локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства» о защите персональных данных и устранение последствий таких нарушений.
Наряду с Политикой к таким документам относятся «Положение по обработке персональных данных», внутренние распорядительные документы принимаемые в целях классификации и выработки эффективных методов предотвращения угроз безопасности персональных данных и обязательные для исполнения всеми сотрудниками, контрагентами Организации.
1.1.3. Безопасность обрабатываемых Организацией персональных данных является одной из приоритетных его задач, обеспечивающей защиту конституционных прав и свобод граждан, в т.ч., прав на неприкосновенность частной жизни, личную и семейную тайну. Такая задача требует обеспечения в Организации надлежащего уровня информационной безопасности.
1.2. Нормативная база обеспечения безопасности персональных данных.
1.2.1. Политика следует комплексу нормативно-правовых, нормативных актов, нормативного акта Банка России, определяющих требования и рекомендации по обеспечению безопасности персональных данных. Расширенный перечень законодательства и нормативный акт Банка России, на которых основана Политика, приведен в разделе 2.2. «Положения по обработке персональных данных».
1.2.2. Наряду с определением принципов, подходов и методов защиты обрабатываемых Организацией персональных данных контрагентов и сотрудников, политика определяет ответственность работников Организации, имеющих доступ к персональным данным, за несоблюдение установленных режимов обработки персональных данных.
1.2.3. Как установлено ст. 7 Закона № 152-ФЗ, п.1 Указа Президента РФ от 6.03.1997 г. № 188, обрабатываемые Организациями персональные данные конфиденциальны и на них распространяются установленные в Организации режимы защиты охраняемой служебной информации.
1.2.4. Политика определяет комплекс организационных мер и программно-технических средств, направленных на выявление и нейтрализацию актуальных угроз безопасности, под которыми в соответствии с п.2, Указания Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных», п. 6 Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
2.Цели, задачи и принципы осуществления политики защиты персональных данных.
2.1. Цели политики
2.1.1. Политика разрабатывается, вводится и применяется в Организации в целях:
a) Защиты прав и свобод контрагентов и сотрудников, чьи персональные данные обрабатываются в информационной системе Организации.
b) Осуществления прав и законных интересов Организации.
c) Предупреждения возможного ущерба, вызванного несоблюдением политики, Положения, иных принятых в Организации правил и процедур обеспечивающих защиту обрабатываемых персональных данных.
2.2. Задачи политики
2.2.1. Политика осуществляется посредством решения следующих задач:
a) Предотвращение неправомерного, случайного и иного несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения, копирования, блокирования, распространения персональных данных, их порчи, уничтожения или разрушения в процессе обработки.
b) Предупреждение возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.
2.3. Принципы осуществления политики
2.3.1. Политики осуществляется на основе следующих принципов:
a) Законность: Защита персональных данных осуществляется на законной и справедливой основе и обусловлена требованиями законодательства, нормативно-правовых актов, нормативных актов Банка России и методических документов государственных органов в области обработки и защиты персональных данных.
b) Обособленность: Персональные данные, обрабатываемые в соответствии с требованиями специального законодательства, обособляются от иных персональных данных. Доступ к специальным базам персональных данных ограничен в соответствии с законодательно установленными требованиями.
c) Целенаправленность и обусловленность: Организацией обрабатываются только те персональные данные, которые отвечают целям их обработки и необходимы для соблюдения установленных законодательством требований и обеспечения деятельности Организации. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные сотрудников, контрагентов Организации и связанных с ними лиц не являются избыточными по отношению к заявленным целям их обработки.
Обрабатываемые Организацией персональные данные сотрудников и контрагентов используются, в частности, для осуществления трудовых и договорных отношений, направления уведомлений, информации и запросов, а также обработки поступающих от сотрудников заявлений.
Персональные данные сотрудников и контрагентов используются при разрешении спорных ситуаций, в том числе в судебном процессе и в целях исполнения вступивших в законную силу судебных решений.
Обезличенные персональные данные используются Организацией для обобщения и анализа статистической информации в целях текущего управления и планирования деятельности Организации.
d) Достоверность: при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры и (или) обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
e) Системность: Обработка персональных данных в Организации осуществляется с учетом всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
f) Срочность: Хранение персональных данных осуществляется форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством, принятыми в Организации внутренними нормативными и иными внутренними документами, договором, стороной которого является субъект персональных данных. По достижении целей обработки, истечении сроков или утраты необходимости последующей обработки, персональные данные уничтожаются или обезличиваются.
g) Комплексность: Защита персональных данных строится с использованием применяемых в Организации информационных технологий, внутренних нормативных и распорядительных актов, устанавливающих защищенные режимы обработки персональных данных, организационные и технические ограничения доступа.
h) Непрерывность обработки, контроля и оценки степени защищенности персональных данных: Защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах действий, связанных с получением, хранением и использованием персональных данных. Соблюдение политики и процедур защиты персональных данных контролируется, результаты контроля регулярно анализируются, вследствие чего выявляются возможные риски и направления совершенствования применяемых политики и процедур защиты персональных данных.
i) Своевременность: Меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки в составе общего комплекса принятых Организацией мер охраны конфиденциальной служебной информации и поддерживаются в течение всего периода их обработки Организацией.
j) Преемственность и непрерывность совершенствования: Модернизация и расширение мер и средств защиты персональных данных осуществляется на основе постоянного мониторинга процессов их обработки, выявления и анализа угроз, разработки мер их предупреждения, внедрения новых способов защиты информации.
k) Персональная ответственность: Ответственность за обеспечение безопасности персональных данных несут сотрудники и привлеченные индивидуальные предприниматели - консультанты, обеспечивающие деятельность Организации в процессе исполнения ими обязанностей, связанных с обработкой и защитой персональных данных.
При поступлении на работу или заключении договора на предоставление Организации услуг, обеспечивающих его деятельность, все указанные лица дают подписку об ознакомлении с установленным в Организации режимом охраны конфиденциальной служебной информации и обязательство не разглашать и не использовать иным неправомерным способом такую информацию, ставшую им известной при осуществлении трудовых функций и договорных обязательств.
l) Минимизация прав доступа: Доступ сотрудников к обрабатываемым Организацией персональным данным сотрудников, контрагентов разграничен в соответствии с пределами их должностной компетенции и кругом осуществляемых ими служебных обязанностей.
m) Гибкость: Защита обрабатываемых персональных данных обеспечивается при изменении характеристик информационной системы, обеспечивающей автоматизированную обработку персональных данных, а также при расширении состава и структуры обрабатываемых персональных данных сотрудников, контрагентов и связанных с ними лиц.
n) Специализация и профессионализм: Меры защиты персональных данных, разработка и эксплуатация систем защиты осуществляются работниками, располагающими необходимыми для этого квалификацией и опытом.
Сотрудники Организации, участвующие в обработке персональных данных, регулярно знакомятся с положениями законодательства и нормативных актов Банка России, касающихся персональных данных, в т.ч. с настоящей Политикой и иными принятыми организационно-распорядительными документами, регламентирующими порядок обработки и защиты персональных данных.
р) Наблюдаемость и прозрачность: Меры по обеспечению безопасности персональных данных планируются так, чтобы руководство Организации или уполномоченные им лица могли наблюдать за их исполнением, оценивать их результаты.
3.Состав, обрабатываемых Организацией персональных данных.
3.1. Персональные данные сотрудников Организации.
3.1.1. С целью осуществления прав и выполнения сотрудником обязанностей в рамках трудовых отношений (в том числе, с целью расчёта заработной платы, выплаты пособий и т.д.), а также в целях соблюдения действующего трудового законодательства и иных актов, содержащих нормы трудового права, налогового законодательства, законодательства о страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Фонд обязательного медицинского страхования, а также иных отраслей законодательства в связи с указанными трудовыми отношениями, Организация обрабатывает следующие персональные данные:
- Фамилия, имя, отчество;
- гражданство;
- дата рождения;
- место рождения;
- адрес постоянной регистрации;
- адрес места проживания;
- номер телефона (домашний, мобильный);
- данные паспорта: серия, номер, кем и когда выдан, код подразделения;
- ИНН, СНИЛС;
- данные из трудовой книжки: информация о трудовом стаже (наименование работодателя, занимаемые должности, даты приема на работу, перемещения, увольнения);
- данные документов об образовании и (или) о квалификации или наличии специальных знаний;
- данные документов воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
- сведения о заработной плате, пособиях, иных полученных доходах;
- информация об отпусках;
- информация о командировках;
- информация о начисленном и удержанном НДФЛ и иных обязательных выплатах и
удержаниях из заработной платы;
- информация об имеющихся наградах и поощрениях, почетных званиях;
- сведения о семейном положении, о составе семьи, которые могут понадобиться для обоснования льгот, предусмотренных трудовым и налоговым законодательством.
3.1.2. Достоверность указанных данных подтверждается личной подписью сотрудника, образец которой, хранится в личном деле, также относится к обрабатываемым Организацией персональным данным сотрудника.
3.2. Персональные данные привлеченных Организацией контрагентов.
3.2.1. В дополнение к составу персональных данных сотрудников, предусмотренных п. 3.1, при заключении договоров гражданско-правового характера с контрагентами, Организация получает и обрабатывает следующие сведения:
a) Фамилия, имя, отчество;
b) данные паспорта (серия, номер, кем и когда выдан, код подразделения);
c) основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя согласно свидетельству о государственной регистрации физического лица в качестве индивидуального предпринимателя (свидетельству о внесении записи в единый государственный реестр индивидуальных предпринимателей записи об индивидуальном предпринимателе, зарегистрированном до 1 января 2004 года);
d) место регистрации;
e) сведения о деловой репутации и профессиональной квалификации индивидуального предпринимателя;
f) сведения о характере и объеме предоставленных ОрганизациЕЙ услуг, о произведенных выплатах по договорам, об истории и текущем состоянии взаимных обязательств.
g) номер телефона (домашний, мобильный) иная контактная информация, например адрес электронной почты, адрес и иные реквизиты для связи в социальных сетях (если это требуется для исполнения договора);
h) банковские реквизиты счета.
3.3. Передача персональных данных
3.3.1. Организация не предоставляет и не раскрывает сведения, содержащие персональные данные сотрудников, контрагентов и иных физических лиц третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
3.3.2. Органы, наделенные правом получения информации, содержащей персональные данные, могут использовать такую информацию исключительно в целях, которые заявлялись при ее мотивированном запросе. Они самостоятельно обеспечивают защищенный режим хранения и использования полученной информации и ответственность за ее неправомерное использование.
3.4. Сроки обработки персональных данных
3.4.1. Персональные данные сотрудников, контрагентов и иных физических лиц обрабатываются Организацией не дольше, чем этого требуют цели обработки персональных данных.
3.4.2. В случае, когда если срок хранения персональных данных установлен федеральным законом, договором, стороной которого, залогодателем или поручителем, по которому является субъект персональных данных, они хранятся в Организации в течение установленного срока, даже если цель обработки этих данных достигнута.
3.4.3. По достижении цели обработки персональных данных и (или) истечении установленного срока их хранения они уничтожаются или обезличиваются, если иное не предусмотрено федеральным законом.
3.4.4. Обработка персональных данных закономерно прекращается ликвидации Организации.
3.6. Права субъекта персональных данных
3.6.1. Субъект персональных данных вправе:
a) Требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
b) Потребовать от Организации предоставить перечень обрабатываемых им своих персональных данных и указать источник их получения.
c) Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения,
d) Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
3.6.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Организацию с соответствующим запросом.
3.6.3. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Организации в установленном законодательством порядке.
Организацией предприняты необходимые организационные, технические и правовые меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:
4.Меры защиты информации, содержащей персональные данные.
4.1. Организационные меры защиты информации
4.1.1. В качестве организационных мер, в т.ч. предприняты следующие:
a) Назначено лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных, которое также осуществляет контроль соблюдения настоящего Положения.
b) Разработано и внедрено Положение по обработке персональных данных, где, в т.ч. определена ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных. В соответствии с п. 2, ст.18.1 Закона № 152-ФЗ настоящая политика опубликована на сайте Организации в информационно-коммуникационной сети «Интернет».
c) Лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных.
Приказом по Организации разграничены права, установлен порядок и пределы доступа сотрудников к обрабатываемым Организацией персональным данным в соответствии с их должностной компетенцией и кругом осуществляемых функций. В целях разграничения полномочий при обработке персональных данных, доступ к персональным данным распределен между сотрудниками в соответствии с их функциональной специализацией.
d) Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
e) В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.
4.1.2. Допущенные к обработке персональных данных сотрудники и привлеченные контрагенты знакомятся под расписку:
a) С принятыми в Организации документами, устанавливающими порядок обработки персональных данных;
b) С общими установленными в Организации мерами охраны конфиденциальной служебной информации, предупреждающими несанкционированный доступ, распространение или порчу такой информации.
c) С мерами ответственности за нарушение установленного в Организации режима конфиденциальности охраняемой служебной информации.
4.1.3. Сотрудники, осуществляющие обработку персональных данных и ответственные за обеспечение её безопасности, должны иметь квалификацию, достаточную для поддержания требуемого режима безопасности персональных данных.
В этих целях в Организации введена и действует система обучения и повышения квалификации сотрудников по обеспечению безопасности персональных данных.
4.1.4. Ответственным за обучение и повышение квалификации сотрудников является директор Организации.
4.2. Технические меры защиты информации
Наряду с организационными мерами, Организацией принимаются технические меры защиты информации, обеспечивающие:
a) Предотвращения несанкционированного доступа к системам, в которых хранятся персональные данные;
b) Резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
c) Иные необходимые меры безопасности.
4.3. Правовые меры защиты информации
4.3.1. Правовые меры защиты обрабатываемых Организацией персональных данных обеспечиваются:
a) Обоснованием принятых в Организации политики, положений, иных внутренних документов, устанавливающих процедуры и методы защиты охраняемой служебной информации, в т.ч. содержащей персональные данные, требованиями законодательства, нормативно правовых актов и нормативных актов Банка России, в области защиты персональных данных.
b) Правовым разграничением доступа и порядка использования персональных данных, внутренними документами, и изданными в их развитие организационно-распорядительными документами.
Введением мер дисциплинарной ответственности за неправомерное использование информации, содержащей персональные данные.
Сотрудники Организации и привлеченные контрагенты, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
Сотрудники Организации и привлеченные контрагенты, по вине которых произошло нарушение конфиденциальности персональных данных, и сотрудники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, внутренними документами Организации и условиями трудового договора.
4.3.2. В соответствии со ст. 7 Закона № 152-ФЗ, п.1, Указа Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера», информация, относящаяся к персональным данным, ставшая известной в связи с осуществлением трудовых отношений, относится к конфиденциальной служебной информации.
5.Изменения и дополнения Политики.
5.1. Политика является внутренним документом Организации.
5.2. Политика подлежит изменению, дополнению при вступлении в силу нового, изменений действующего законодательства и нормативных актов Банка России, регулирующих отношения, связанные с защитой персональных данных, а также при расширении и детализации применяемых Организацией процедур такой защиты.