Политика при обработке персональных данных граждан Российской Федерации
Общие положения
Настоящая Политика обработки персональных данных (далее – Политика) в Обществе с ограниченной ответственностью «Объединенный расчетный центр» (далее – ООО «ОРЦ») разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее – ПДн). Политика определяет принципы сбора, обработки, хранения, передачи и защиты ПДн физических лиц (далее – субъекты ПДн), реализуемые в ООО «ОРЦ».Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.Основные понятия, используемые в Политике:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);Оператор персональных данных (оператор) — учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;Субъект персональных данных — физическое лицо, данные которого обрабатываются;Конфиденциальность персональных данных — обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.Нормативная документация
Настоящая Политика разработана в соответствии с требованиями следующих нормативно-правовых документов в области защиты ПДн:Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;Постановление Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Основные права и обязанности оператора персональных данных
Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных Федеральном законе «О персональных данных».Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных. Оператор в случае осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей обязан опубликовать в соответствующей информационно-телекоммуникационной сети Политику и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующей информационно-телекоммуникационной сети.Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».Основные права и обязанности субъекта персональных данных
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы разрешается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.Цели сбора персональных данных
ОПЕРАТОР ОБРАБАТЫВАЕТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ В ЦЕЛЯХ:
оформления трудовых отношений, ведения кадрового делопроизводства, содействия в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гарантиями, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и сохранности имущества;заключения, исполнения и прекращения гражданско-правовых договоров;выполнения требований действующего законодательства;в иных случаях, установленных в законе, уставе Оператора. Обработка персональных данных должна осуществляться на законной и справедливой основе.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.Обработке подлежат только персональные данные, которые отвечают целям их обработки.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.Оператор обрабатывает персональные данные на основании:Трудового кодекса Российской Федерации;иных федеральных законов и прочих нормативных правовых актов;устава Оператора;договоров, заключаемых между Оператором и субъектами персональных данных;согласий на обработку персональных данных.Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных
Категории субъектов персональных данных, чьи данные обрабатываются:Работники Оператора, бывшие работники, кандидаты на трудоустройство, а также члены семьи работников.Клиенты организаций, заключивших договора на обслуживание с Оператором.В отношении работников Оператора, бывших работников, кандидатов на трудоустройство, а также членов семьи работников обрабатываются следующие персональные данные:фамилия, имя, отчество;серия и номер документа, удостоверяющего личность;пол субъекта персональных данных;номер страхового свидетельства Пенсионного фонда Российской Федерации;ИНН;место рождения;дата рождения;адрес регистрации;адрес проживания;контактные телефоны;гражданство;иная информация, не относящаяся к биометрическим ПДн и специальной категории ПДн.В отношении клиентов организаций, заключивших договор на обслуживание с Оператором, обрабатываются следующие категории персональных данных:фамилия, имя, отчество;контактный телефон;паспортные данные (серия, номер, кем выдан, когда выдан);адрес электронной почты;банковские реквизиты (в том числе номер банковского счёта).Цели ООО «ОРЦ» в области защиты персональных данных
Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании согласно законодательству Российской Федерации и Уставу Компании.Важнейшими целями ООО «ОРЦ» в области защиты персональных данных являются:соответствие требованиям законодательства Российской Федерации и договорным обязательствам в части защиты персональных данных при оказании услуг;обеспечение конфиденциальности, целостности и доступности персональных данных;применение адекватных мер по защите от угроз в отношении персональных данных;предотвращение и (или) снижение ущерба от реализации угроз в отношении персональных данных.Обработка персональных данных
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Основные принципы обработки персональных данных ООО «ОРЦ»:обработка персональных данных должна осуществляться на законной и справедливой основе;обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;обработке подлежат только персональные данные, которые отвечают целям их обработки;содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор (ООО «ОРЦ») должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ
Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн. Исключение составляют случаи, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн в соответствии с законодательством Российской Федерации. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться как на бумажных носителях, так и в электронном виде.ПДн на бумажных носителях, должны храниться в запираемых шкафах или сейфах структурных подразделений, осуществляющих обработку персональных данных.ПДн субъектов в электронном виде обрабатываются в компьютерных сетях ООО «ОРЦ».ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
ООО «ОРЦ» обязуется и обязует иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Трансграничная передача ПДн не осуществляется.УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В случае достижения цели обработки ПДн ООО «ОРЦ» обязано прекратить обработку ПДн, если иное не предусмотрено договором между ООО «ОРЦ» и субъектом персональных данных.В случае отзыва субъектом ПДн согласия на обработку своих ПДн ООО «ОРЦ» обязано прекратить их обработку, если иное не предусмотрено договором между ООО «ОРЦ» и субъектом ПДн, либо, если ООО «ОРЦ» вправе осуществлять обработку ПДн без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.В случае выявления неправомерной обработки ПДн ООО «ОРЦ» должно предпринять меры по уничтожению этих ПДн в срок, не превышающий семи рабочих дней со дня выявления неправомерной обработки ПДн.В случае отсутствия возможности уничтожения ПДн в течение указанного срока, ООО «ОРЦ» необходимо осуществить блокирование таких ПДн и обеспечить уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен федеральным законодательством.В случае если уничтожение ПДн было произведено по результатам обработки обращения субъекта ПДн и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых действиях ООО «ОРЦ» обязано уведомить субъекта ПД и (или) уполномоченный орган по защите прав субъектов ПДн.ПДн на бумажных носителях необходимо уничтожать с помощью средств, гарантирующих невозможность восстановления носителя или посредством вычеркивания (вымарывания и т.п.) ПДн.Уничтожение информации с машиночитаемых носителей ПДн, пришедших в негодность или утративших практическую ценность, должно производиться способом, исключающим возможность использования и восстановления информации.Уничтожение ПДн должно производиться в соответствии с актуальными внутренними процессами ООО «ОРЦ».ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке ПДн ООО «ОРЦ» необходимо принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.Обеспечение безопасности ПДн должно достигаться, в частности:определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:идентификация и аутентификация субъектов доступа и объектов доступа;управление доступом субъектов доступа к объектам доступа;ограничение программной среды;защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;регистрация событий безопасности;антивирусная защита;контроль (анализ) защищенности персональных данных;обеспечение целостности информационной системы и персональных данных;обеспечение доступности персональных данных;защита информационной системы, ее средств, систем связи и передачи данных.Доступ к персональным данным
ОБЩИЕ ПОЛОЖЕНИЯ
ООО «ОРЦ» необходимо обеспечивать конфиденциальность ПДн, то есть не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.ОРГАНИЗАЦИЯ ВНУТРЕННЕГО ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ
В рамках данной Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам ООО «ОРЦ».Доступ к ПДн необходимо предоставлять только тем работникам ООО «ОРЦ», которым ПДн необходимы для исполнения их непосредственных должностных обязанностей.Допуск работников ООО «ОРЦ» к обработке ПДн требуется осуществлять на основании утвержденного перечня работников структурных подразделений, допущенных к работе с ПДн, обрабатываемыми в ООО «ОРЦ». Работник ООО «ОРЦ» должен допускаться к обработке ПДн только в рамках тех задач, которые он обязан осуществлять для поддержания бизнес-процессов ООО «ОРЦ».Работник ООО «ОРЦ» должен допускаться к обработке ПДн только после ознакомления с внутренними нормативными документами ООО «ОРЦ», регламентирующими обработку ПДн, под роспись в специальных Листах ознакомления, а также после подписания обязательств о неразглашении персональных данных.ОРГАНИЗАЦИЯ ДОСТУПА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ
ООО «ОРЦ» обязано обеспечивать доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в ООО «ОРЦ» письменный запрос на адрес: 196105, г. Санкт-Петербург, пр. Юрия Гагарина, д. 1 в ООО «ОРЦ». ООО «ОРЦ» осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.В соответствии с законом №152-ФЗ «О персональных данных» субъект ПД имеет право:Получить сведения касающиеся обработки ПДн ООО «ОРЦ», а именно:подтверждение факта обработки персональных данных субъекта ПДн;правовые основания и цели обработки персональных данных субъекта ПДн; цели и применяемые способы обработки персональных данных субъекта ПДн; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным субъекта ПДн или которым могут быть раскрыты персональные данные субъекта ПДн на основании договора с оператором или на основании федерального закона;обрабатываемые персональные данные, относящиеся к субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;сроки обработки персональных данных субъекта ПДн, в том числе сроки их хранения;порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;информацию об осуществленной или о предполагаемой трансграничной передаче данных субъекта ПДн;наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.Потребовать от ООО «ОРЦ» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;Потребовать исключения своих ПДн из общедоступных источников персональных данных (при их наличии);Отозвать согласие на обработку ПДн в предусмотренных законом «О персональных данных» случаях.Ответственность
ООО «ОРЦ» несет ответственность за защиту ПДн субъектов ПДн, обязуется не разглашать персональные данные и не использовать их, кроме как в целях исполнения обязательств при оказании услуг и других целей, не противоречащих законодательству Российской Федерации.За предоставление неполных, неточных или неактуальных сведений субъектом ПДн ООО «ОРЦ» ответственности не несет. При нарушении ООО «ОРЦ» норм, регулирующих получение, обработку и защиту ПДн, работники ООО «ОРЦ» несут ответственность в соответствии с законодательством Российской Федерации.Заключительные положения
Политика является общедоступным документом.Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.
