ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

 

ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ДИВАЙДЕР»

 

Утверждена приказом

генерального директора

 

№1-п от 18 января 2016г.

 

1.        ЦЕЛЬ

 

Целью настоящей Политики является организация обработки и обеспечения безопасности персональных данных работников ООО «Дивайдер», а также персональных данных иных лиц в соответствии с законодательными и нормативными правовыми актами Российской Федерации при их обработке как в информационных системах персональных данных, так и осуществляемой без использования средств автоматизации. Соблюдение должностными лицами и работниками ООО «Дивайдер» законодательства Российской Федерации в области персональных данных.

 

2.        ОБЛАСТЬ РАСПРОСТРАНЕНИЯ

 

Настоящий документ распространяется на деятельность всех подразделений организации.

 

3.        ТЕРМИНЫ И ОБОЗНАЧЕНИЯ

 

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

 

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, распространение), блокирование, удаление, уничтожение персональных данных.

 

Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

 

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

 

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

 

Конфиденциальность персональных данных - обязательное для соблюдения оператором, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

 

Работники -- лица, находящиеся в трудовых отношениях с организацией. Кандидаты — лица, претендующие на вакантную должность в

 

организации. В случае получения ООО «Дивайдер» сведений о персональных данных кандидатов при заполнении анкеты кандидата, а также при заполнении анкеты кандидата для целей дальнейшего трудоустройства - кандидаты дают согласие на обработку своих персональных данных при заполнении анкеты кандидата. Условия и срок хранения персональных данных кандидатов отражаются в согласии на обработку персональных данных кандидата.

 

Согласие на обработку персональных данных кандидатов не оформляется в случаях, когда от имени кандидата действует кадровое агентство, при самостоятельном размещение кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц, при непосредственном представлении кандидатом своего резюме организации.

 

Оператор - ООО «Дивайдер», государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных: подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства: иностранному физическому лицу или иностранному юридическому лицу.

 

Субъекты персональных данных. К субъектам персональных данных (далее - субъекты) относятся лица-носители персональных данных, персональные данные которых переданы организации (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки, в том числе:

 

-           работники организации, а также лица, выполняющие работы по договорам гражданско-правового характера;

 

-           иные лица, предоставляющие персональные данные организации;

 

-           лица, персональные данные которых стали известны в рамках заключения/исполнения гражданско-правовых договоров.

 

Принятые сокращения: Организация — ООО «Дивайдер».

Субъекты — субъекты персональных данных.

Политика — Политика конфиденциальности в отношении обработки и защиты персональных данных в ООО «Дивайдер».

 

ФСТЭК России — Федеральная служба по техническому и экспортному контролю.

ПД — персональные данные.

 

4.        ОСНОВНАЯ ЧАСТЬ

 

1.        ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящая Политика разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. N 152 ФЗ ”О персональных данных“, Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов Российской Федерации.

 

1.2. Настоящей Политикой определяется порядок обработки, т.е. действия (операции) с персональными данными работников ООО «Дивайдер» (далее — организация) и иных лиц, не являющихся работниками организации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление,

 

изменение), извлечение, использование, передачу (предоставление), блокирование, удаление: уничтожение персональных данных с использованием средств автоматизации или без использования таких средств.

 

1.3. Обработка персональных данных субъекта без его согласия не допускается, если иное не определено законом. Персональные данные относятся к информации ограниченного доступа, не составляющей государственную тайну.

 

1.4. Должностные лица ООО «Дивайдер», в обязанности которых входит обработка персональных данных субъектов, обязаны обеспечить каждому субъекту возможность ознакомления со своими персональными данными, если иное не предусмотрено законом.

 

1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации прав и свобод граждан Российской Федерации.

 

1.6. Настоящая Политика и изменения к ней утверждаются генеральным директором ООО «Дивайдер», являются обязательными для исполнения всеми работниками, имеющими доступ к персональным данным субъектов персональных данных организации. В ООО «Дивайдер» должен быть обеспечен неограниченный доступ к настоящей Политике путем ее публикации или иным образом во исполнение п. 2 ст.18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

 

2.        ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Обработка персональных данных в ООО «Дивайдер» осуществляется на основе следующих принципов:

 

-            осуществления обработки персональных данных на законной и справедливой основе;

 

-            ограничения достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимых с целями сбора персональных данных;

 

-            недопустимости объединения созданных для достижения разных целей, несовместимых между собой, баз данных, содержащих персональные данные;

 

-            соответствия содержания и объема персональных данных целям их обработки, а также недопустимости обработки персональных данных, избыточных по отношению к заявленным целям;

 

-            обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям обработки персональных данных;

-           принятия  необходимых  мер  или  обеспечение  принятия  мер  по

 

удалению или уточнению неполных или неточных данных; уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

3.        ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Под персональными данными субъектов персональных данных понимается любая информация, относящаяся к данному субъекту персональных данных.

 

3.2. Перечень обрабатываемых сведений, составляющих персональные данные:

-             фамилия, имя, отчество;

 

-           пол;

 

-           возраст;

-           дата и место рождения;

 

-           структурное подразделение;

-           занимаемая должность;

 

-            данные документа, удостоверяющего личность (общероссийский и заграничный паспорт, военный билет, вид на жительство и другие документы);

-            данные по месту пребывания и регистрации по месту жительства, адрес фактического проживания;

 

-            данные документов о профессиональном образовании, квалификации, профессиональной подготовки и переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются/предоставляются);

 

-            данные трудовой книжки или документа, подтверждающего прохождение военной или иной службы, стаж (общий, информация о приеме, переводе, увольнении и иных событий, относящихся к трудовой деятельности в

 

ООО     «Дивайдер» (в т. ч. должность, структурное подразделение, данные трудового договора);

 

-            данные свидетельств о государственной регистрации актов гражданского состояния, данные документов о семейном положении, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством (в т. ч. мат. помощи и детских подарков),

 

-            данные трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

 

-            данные документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

 

-            сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работ:

 

-            данные страхового свидетельства обязательного пенсионного Страхования / СНИЛС

 

-            данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

 

-           номер расчетного счета;

-           номер телефона (домашний, мобильный);

 

-           адрес электронной почты;

-           фотография;

 

-            данные о владении акциям (долями, паями) в других компаниях, находящихся в деловых отношениях с ООО «Дивайдер» (в т. ч. потенциальном контрагенте компании или компании-конкуренте/ физическом лице конкуренте);

 

-            данные о членстве в органах управления (Совета директоров, правления, руководстве (директор, заместители директора)/ работе (в качестве работников, советников, консультантов, агентов, доверенных лиц) в других компаниях, находящихся в деловых отношениях с ООО «Дивайдер» (в т. ч. потенциальном контрагенте, компании-конкуренте или физическом лице конкуренте).

 

3.3. Оператор (работники оператора), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

4.        ПОЛУЧЕНИЕ,   ОБРАБОТКА   И   ХРАНЕНИЕ   ПЕРСОНАЛЬНЫХ

ДАННЫХ

 

4.1. ООО «Дивайдер» получает сведения о персональных данных субъектов персональных данных непосредственно от самих субъектов, из общедоступных источников, от третьих лиц. Субъект персональных данных обязан представлять

 

ООО   «Дивайдер» достоверные сведения о себе. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным. Организация имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

 

4.2. Организация руководствуется конкретными, заранее определенными целями обработки персональных данных, в соответствии с которыми персональные данные были предоставлены субъектом, Конституцией Российской Федерации: Трудовым кодексом Российской Федерации и иными федеральными законами при определении состава обрабатываемых персональных данных субъектов.

4.3. Обработка персональных данных в ООО «Дивайдер» осуществляется в

 

целях:

-           ведения бухгалтерского учета и отчетности,

 

-           ведения кадрового учета и делопроизводства,

 

-           ведения воинского учета,

 

-            ведения уставной деятельности организации в части заключения, учета и исполнения договоров с контрагентами/клиентами,

 

-           осуществления маркетинга и рекламы.

4.4. В случаях, когда персональные данные субъекта организация получает непосредственно от субъекта, работник, ответственный за документационное обеспечение уставной деятельности, принимает от субъекта материальные носители персональных данных (документы, копии документов), сверяет копии документов с подлинниками.

 

4.5. Если персональные данные субъекта возможно получить исключительно у третьей стороны, то он должен быть уведомлен об этом заранее

 

и    от него должно быть получено письменное согласие. Организация должна сообщать субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о составе подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение. В случае если субъект уже дал письменное согласие на передачу своих персональных данных третьим лицам, дополнительное уведомление не требуется.

 

4.6. В случаях, установленных законодательством РФ, условием обработки персональных данных субъекта персональных данных является его письменное согласие.

 

Письменное согласие субъекта на обработку его персональных данных должно включать в себя:

 

-            фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

 

-            наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

 

-            цель обработки персональных данных;

-            перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

 

-            наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

 

-            перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

 

-            срок, в течение которого действует согласие субъекта персональных данных: а также способ его отзыва, если иное не установлено федеральным законом;

 

-           дата и подпись субъекта персональных данных,

 

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

 

4.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

 

4.8. В случае если оператор на основании договора поручает обработку персональных данных другому лицу, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

 

4.9. Организация не имеет права осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности: политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением, если:

 

-            субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

 

-            персональные данные сделаны общедоступными субъектом персональных данных;

 

-            обработка персональных данных осуществляется в соответствии с трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, о государственной социальной помощи.

 

-            обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

 

-            обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

 

-            обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативной розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации. Обработка персональных данных о судимости может осуществляться оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

 

4.10. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.

 

4.11. Основными источниками, содержащими персональные данные работников, являются их личные дела. Личные дела работников хранятся уполномоченным лицом на бумажных носителях. Помимо этого, персональные данные работников обрабатываются в виде электронных документов в информационной системе. Личное дело пополняется на протяжении всей трудовой деятельности работника в организации. Согласия на обработку ПД работников и иные документы, содержащие ПД работников, хранятся в помещениях, где ведется кадровое делопроизводство. Документы, содержащие ПД иных субъектов персональных данных, хранятся в местах, определенных соответствующим приказом генерального директора или внутренними локально-нормативными актами/ распоряжениями директоров филиалов/ руководителей обособленных подразделений ООО «Дивайдер».

4.12.             При  обработке  персональных  данных  генеральный  директор

 

ООО    «Дивайдер» вправе утверждать способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.

 

4.13.                   Перечень лиц, допущенных к обработке персональных данных; определяется распоряжением руководителя структурного подразделения, в котором работают указанные лица (перечень руководителей уполномоченных на издание соответствующих распоряжений определяется приказом генерального директора) и внутренними локально-нормативными актами ООО «Дивайдер».

 

4.14.                   Контроль выполнения требований по обработке и обеспечению безопасности персональных данных в информационных системах организуется организацией самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, и проводится не реже 1 раза в З года в сроки, определяемые организацией.

 

4.15.                   Помещения, в которых обрабатываются и хранятся персональные данные субъектов, оборудованы надежными замками. Исключено бесконтрольное пребывание посторонних лиц в этих помещениях. Для хранения материальных носителей персональных данных используются шкафы, ящики или сейфы, которые запираются на ключ. Помещения, в которых обрабатываются и хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников закрываются.

 

5.        ПРАВА И ОБЯЗАННОСТИ СТОРОН В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

 

-

 

федеральными законами.

 

5.1. Субъект (работник) персональных данных обязан:

 

-           передать ООО «Дивайдер» или его представителю комплект достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.

 

-           своевременно сообщать ООО «Дивайдер» об изменении своих персональных данных.

 

5.2. Субъект персональных данных имеет право:

-                                                                                     на              получение                                                                                       информации,

 

касающейся обработки его персональных данных, в том числе содержащей:

 

-                                                                                     подтверждение       факта                                                                                       обработки

персональ