Положение об обработке и защите персональных данных



1. Общие положения

1.1. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Общества с ограниченной ответственностью «ДОКТОР КЛЮЧ на Красном» (далее — Общество) и иных лиц, чьи персональные данные обрабатываются Обществом, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.2. Важнейшим условием реализации целей деятельности Общества, является соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.3. Персональные данные в информационных система Общества могут обрабатываться совместно с иной информацией, доступ к которой ограничен в соответствии с законодательством РФ (составляющей коммерческую тайну).

1.4. Обработка и обеспечение безопасности информации, отнесенной к персональным данным осуществляется в соответствии законодательством РФ и действующими внутренними нормативно-правовыми актами Общества и позволяет обеспечить защиту персональных данных, как в информационных системах персональных данных, так и обрабатываемых без использования средств автоматизации.

1.5. Общество обязано осуществлять уведомление уполномоченного органа по защите прав субъектов персональных данных о начале обработки персональных данных. Общество добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

1.6. Данная Политика является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке и защите персональных данных.

2. Правовые основания обработки персональных данных

2.1. Политика Общества в отношении обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

— Конституцией Российской Федерации;

— Трудовым кодексом Российской Федерации;

— Гражданским кодексом Российской Федерации;

— Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

3. Понятие и состав персональных данных

3.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

3.2. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

— персональные данные соискателей вакантной должности — информация, необходимая в целях принятия решения о трудоустройстве и дальнейшего кадрового планирования.

— персональные данные работников Общества — информация, необходимая Обществу в связи с трудовыми отношениями и обрабатываемая в рамках Трудового законодательства.

— персональные данные клиента (потенциального клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом (потенциальным клиентом, партнером, контрагентом) Общества — информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с клиентом (либо в целях заключения договора) и для выполнения требований законодательства Российской Федерации.

3.3. Общество не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

3.4. Общество не выполняет обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

4. Цели обработки персональных данных

4.1. Общество осуществляет сбор и обработку персональных данных в следующих целях:

— заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Общества;

— организации кадрового учета Общества, принятия решения о трудоустройстве и дальнейшего кадрового планирования, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, программами добровольного медицинского страхования, покупки билетов и визового обслуживания;

— исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации;

— управления физическим доступом на территорию Общества;

— предоставления пользователям Интернет-ресурсов персонифицированного доступа к сервисам Общества.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Обществе осуществляется на основании следующих основных принципов:

— законности и справедливости целей и способов обработки персональных данных;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;

— хранении персональных данных, осуществляющемся в форме, позволяющем определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;

— уничтожении по достижении целей обработки или в случае утраты необходимости в достижении таких целей.

5.2. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Общества, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Общества.

5.3. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), осуществляется Обществом с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

5.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено 152-ФЗ.

5.5. Общество вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.

5.6. Персональные данные субъекта могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.

5.7. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Общества в соответствии с их должностными обязанностями.

5.8. Общество вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее — поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Общества, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

5.9. Трансграничная передача персональных данных (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) может осуществляться Обществом при соблюдении условий, установленных ст. 12 152-ФЗ.

5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.

6.2. Субъект персональных данных вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе:

— если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

6.5. Субъект персональных данных вправе обжаловать действия или бездействия Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. Обеспечение безопасности персональных данных

7.1. Обработка и обеспечение безопасности информации, отнесенной к персональным данным в Обществе осуществляется в соответствии законодательством РФ, подзаконными нормативными актами и нормативно-методическими документами ФСТЭК и ФСБ РФ.

7.2. Общество при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

— назначением ответственных за организацию обработки персональных данных.

— изданием документов, определяющих политику Общества в отношении обработки персональных данных.

— осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными и локальными актами.

— ознакомлением работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами и обучением.

— определением угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

— учетом машинных носителей персональных данных.

— выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных.

7.3. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.

8. Заключительные положения

8.1. Настоящая Политика является внутренним документом Общества, а также в соответствии со ст. 18.1 ФЗ-152 является общедоступной и подлежит размещению на официальном сайте Общества.

8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных Общества.

8.4. Ответственность сотрудников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.