1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных (далее – «Положение») издано и применяется ООО «ОНС» (далее – «Оператор») в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Настоящее Положение определяет политику Оператора в отношении обработки пер-сональных данных, порядок и условия их обработки, устанавливает процедуры, направ-ленные на предотвращение и выявление нарушений законодательства Российской Феде-рации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целями обработки персональных данных являются:
- соблюдение федеральных законов, устанавливающих цель, условия получения пер-сональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющих полномочия Оператора;
- заключение договора, исполнение и расторжение договора, стороной или выгодо-приобретателем которого является (намерен стать) субъект персональных данных;
- исполнение и соблюдение трудового законодательства (организация кадрового уче-та компании, обеспечение соблюдения законов и иных нормативно-правовых актов в об-ласти трудовых правоотношений; ведение кадрового делопроизводства, исполнение тре-бований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персо-нифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом РФ, Нало-говым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персони-фицированном) учете в системе обязательного пенсионного страхования», «О персональ-ных данных» и другие нормативно-правовые акты, если применимо).
1.3. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недо-пустимости обработки персональных данных, избыточных по отношению к целям, заяв-ленным при сборе персональных данных;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заяв-ленным целям обработки. Обрабатываемые персональные данные не должны быть избы-точными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, об-работка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Опера-тор принимает необходимые меры либо обеспечивает их принятие по удалению или уточ-нению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персо-нальных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.
1.5. Допустимые способы обработки персональных данных:
- без использования средств автоматизации.
- с использованием средств автоматизации.
1.6. Категории персональных данных. Оператором осуществляется обработка сле-дующих категорий персональных данных:
1) непосредственно персональные данные (за исключением специальных категорий персональных данных, биометрических персональных данных).
1.7. Категории субъектов персональных данных:
1) работники Оператора в соответствии с трудовым законодательством
2) лица, заключающие и заключившие договор с Оператором
1.8. В соответствии с поставленными целями и задачами Оператор до начала обра-ботки персональных данных назначает ответственного за организацию обработки персо-нальных данных, именуемого далее «Ответственный за организацию обработки персо-нальных данных».
1.9.1. Ответственный за организацию обработки персональных данных получает ука-зания непосредственно от исполнительного органа Оператора и подотчетен ему.
1.9.2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального за-кона от 27.07.2006 N 152-ФЗ «О персональных данных» в случае возникновения необхо-димости в отправке такого уведомления.
1.10. Настоящее Положение, изменения к нему утверждаются руководителем Оператора.
1.11. Работники Оператора, непосредственно осуществляющие обработку персо-нальных данных, должны быть ознакомлены под роспись до начала работы с положения-ми законодательства Российской Федерации о персональных данных, в том числе с требо-ваниями к защите персональных данных, документами, определяющими политику Опера-тора в отношении обработки персональных данных, локальными актами по вопросам об-работки персональных данных, с данным Положением и изменениями к нему.
1.12. При обработке персональных данных Оператор применяет правовые, организа-ционные и технические меры по обеспечению безопасности персональных данных в соот-ветствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.13. При необходимости проводится контроль соблюдения работниками Оператора требований законодательства РФ и положений локальных актов Оператора. Контроль за-ключается в проверке выполнения требований нормативных документов по защите ин-формации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться также на договорной основе сторонними организациями, имеющими лицен-зии на деятельность по технической защите конфиденциальной информации.
1.14. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии с Гражданским Кодексом РФ.
1.15. При осуществлении сбора персональных данных с использованием информаци-онно-телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети до-кумент, определяющий его политику в отношении обработки персональных данных, и све-дения о реализуемых требованиях к защите персональных данных, а также обеспечить воз-можность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.16. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение установленного законом, запро-сом срока, а в случае отсутствия такого срока – в течение 15 (пятнадцати) рабочих дней.
1.17. Оператор может обрабатывать персональные данные в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональ-ных данных;
- обработка персональных данных необходима для достижения целей, предусмот-ренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на ус-тупку прав (требований) по такому договору, а также для заключения договора по ини-циативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согла-сия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных ин-тересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в иных предусмотренных законом случаях.
1.18. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обра-ботки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
1.19. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых об-рабатываются Оператором, осуществляется в рамках законодательства России.
2. ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В соответствии с требованиями ст. 22.1 Федерального закона от 27.07.2006 г. № 152- ФЗ «О персональных данных» (далее – Федеральный закон «О персональных дан-ных») приказом руководителя Оператора назначается лицо, ответственное за организацию обработки персональных данных, как в информационных системах Оператора, в которых обрабатываются персональные данные, так и при обработке персональных данных без ис-пользования средств автоматизации.
2.2. Ответственный за организацию обработки персональных данных получает ука-зания непосредственно от руководителя Оператора и подотчетен ему.
2.3. В соответствии с ч. 4 ст. 22.1 Федерального закона «О персональных данных» Ответственный за организацию обработки персональных данных обязан:
2.3.1. осуществлять внутренний контроль за соблюдением Оператором, как операто-ром персональных данных, и его работниками законодательства РФ о персональных дан-ных, в том числе требований к защите персональных данных;
2.3.2. доводить до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов Оператора по вопросам обработки персональных данных, требований к защите персональных данных;
2.3.3. организовывать прием и обработку обращений и запросов Субъектов или их пред-ставителей и осуществлять контроль приема и обработки таких обращений и запросов.
2.4. На Ответственного за организацию обработки персональных данных возлагается задача по организации выполнения законодательных требований при обработке персо-нальных данных Оператором.
2.5. На время отсутствия Ответственного за организацию обработки персональных данных его обязанности исполняет работник, замещающий его по штатному расписанию.
2.6. Ответственными за выполнение требований локальных актов Оператора по во-просам обработки персональных данных и их защите на своих рабочих местах в рамках, определенных соответствующими должностными инструкциями, являются лица, уполно-моченные в установленном порядке обрабатывать персональные данные.
3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъекты персональных данных или их представители обладают правами, преду-смотренными Федеральным законом от 27.07.2006 N152-ФЗ "О персональных данных" и дру-гими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, уста-новленном главами 3 и 4 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных".
3.3. Полномочия представителя на представление интересов каждого субъекта пер-сональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса РФ, ч. 2 ст. 53 Гражданского процессуального кодекса РФ или удостоверенной нотариально согласно ст. 59 Основ законодательства РФ о нотариате. Копия доверенности представителя, отснятая Ответственным за организацию обработки персональных данных с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 22 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных Ответственным за организацию обработки персональных данных в доступной форме без персональных данных, относящих-ся к другим субъектам персональных данных, за исключением случаев, если имеются за-конные основания для раскрытия таких персональных данных, в электронном виде. По тре-бованию субъекта персональных данных они могут быть продублированы на бумаге. Дос-тупная форма заверяется Ответственным за организацию обработки персональных данных / иным уполномоченным приказом руководителя Оператора лицом.
3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональ-ных данных или его представителя. Запрос должен содержать номер основного докумен-та, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтвер-ждающие участие субъекта персональных данных в отношениях с Оператором (номер до-говора, дата заключения договора, условное словесное обозначение и (или) иные сведе-ния), либо сведения, иным образом подтверждающие факт обработки персональных дан-ных Оператором, подпись субъекта персональных данных или его представителя. При на-личии технической возможности запрос может быть направлен в форме электронного до-кумента и подписан электронной подписью в соответствии с законодательством РФ.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рын-ке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предваритель-ного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.9. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.10. Оператор в течение 30 дней с момента исправления или уничтожения персональ-ных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Цель обработки персональных данных определяет Ответственным за организа-цию обработки персональных данных. Цели обработки персональных данных утверждены настоящим Положением.
4.2. На основании заданной цели Ответственный за организацию обработки персо-нальных данных определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц.
4.3. Ответственный за организацию обработки персональных данных обязан:
организовывать принятие правовых, организационных и технических мер для обес-печения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
доводить до сведения сотрудников Оператора положения законодательства Россий-ской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
в случае нарушения требований к защите персональных данных принимать необходи-мые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. Ответственный за организацию обработки персональных данных вправе:
иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных дан-ных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с тре-бованиями к защите персональных данных, установленными Правительством РФ;
привлекать к реализации мер, направленных на обеспечение безопасности персо-нальных данных, иных работников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. В соответствии с целями, задачами, условиями уполномоченные работники Оператора осуществляют сбор персональных данных.
4.6. Запись, систематизация персональных данных осуществляются только уполно-моченными сотрудниками во взаимодействии с Ответственным за организацию обработки персональных данных.
4.7. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются только упол-номоченными сотрудниками во взаимодействии с Ответственным за организацию обра-ботки персональных данных.
4.8. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществля-ются только уполномоченными сотрудниками Оператора.
4.9. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только уполномоченными сотрудниками Оператора.
5. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И СОТРУДНИКОВ ОПЕРАТОРА
5.1. Руководитель Оператора:
- оказывает содействие Ответственному за организацию обработки персональных данных в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства РФ, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
5.2. Сотрудники Оператора:
- оказывают содействие Ответственному за организацию обработки персональных данных в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Ответственного за организацию обработки персональных данных (в части его компетен-ции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполни-тельной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
6. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
6.1. Контроль за исполнением Положения возложен на Ответственного за организа-цию обработки персональных данных.
6.2. Лица, нарушающие или не исполняющие требования законодательства Россий-ской Федерации в области персональных данных, привлекаются к дисциплинарной, адми-нистративной или уголовной ответственности.
6.3. Руководители структурных подразделений Оператора несут персональную от-ветственность за исполнение обязанностей их подчиненными.
6.4. В соответствии с действующим законодательством Оператор при обработке пер-сональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В целях защиты персональных данных Оператором создана нормативная база и реа-лизованы следующие требования к защите персональных данных:
- Назначен ответственный за организацию обработки персональных данных.
- Изданы документы, регламентирующие обработку персональных данных.
- Произведена оценка эффективности принимаемых мер по обеспечению безопасно-сти персональных данных.
- Производится учет носителей персональных данных.
- Приняты соответствующие меры по защите от несанкционированного доступа к персональным данным.
- Осуществляется резервное копирование баз данных содержащих персональные данные, для возможности их восстановления при модификации или уничтожения вследст-вие несанкционированного доступа к ним.
- Проводятся периодические внутренние проверки состояния системы защиты пер-сональных данных.
- Произведена оценка вреда, который может быть причинен субъектам персональ-ных данных в случае нарушения законодательства в сфере защиты персональных данных и соотношение причиненного вреда с принятыми мерами.
- Все работники, осуществляющие обработку персональных данных, ознакомлены под роспись с требованиями к защите персональных данных, установленными действую-щим законодательством Российской Федерации локальными актами
Оператора. Сведения об иных принимаемых Оператором мерах и реализованных для защиты персональных данных требованиях являются информацией ограниченного доступа.