Политика
ОАО «ИнфоТеКС»
в отношении обработки персональных данных
ПДн – Персональные данные
ПО – Программное обеспечение
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) является внутренним нормативным документом ОАО «ИнфоТеКС» (здесь и далее – Оператор), определяющим основные принципы, цели, способы и условия обработки Оператором персональных данных, а также соответствующие права и обязанности Оператора и субъектов персональных данных.
2. Политика разработана в целях реализации требований законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных.
1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
2. Обработка персональных данных ограничиваться достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Оператором не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Оператор обрабатывает только те персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых Оператором персональных данных соответствует заявленным целям обработки. Обрабатываемые Оператором персональные данные не являются избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
7. Хранение Оператором персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые Оператором персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1. Субъект персональных данных имеет право на получение информации[2], касающейся обработки его персональных данных, в том числе содержащей:
a. подтверждение факта обработки персональных данных Оператором;
b. правовые основания и цели обработки персональных данных;
c. цели и применяемые Оператором способы обработки персональных данных;
d. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
f. сроки обработки персональных данных, в том числе сроки их хранения;
g. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
h. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
j. иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими федеральными законами.
2. Субъект ПДн имеет право требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.
Субъект ПДн имеет право отозвать согласие на
обработку персональных данных.
4.
Если субъект ПДн считает, что оператор
осуществляет обработку его персональных данных с нарушением требований
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным
образом нарушает его права и свободы, то он имеет право обжаловать действия или
бездействие Оператора в уполномоченный орган по защите прав субъектов
персональных данных или в судебном порядке[3].
5.
Субъект ПДн имеет право на защиту своих прав и
законных интересов, в том числе на возмещение
убытков и (или) компенсацию морального вреда в судебном порядке[4];
6. Субъект ПДн имеет право осуществлять иные права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
7. Субъект ПДн обязан предоставить оператору достоверные персональные данные и оформить соглашение на обработку ПДн;
8.
Субъект ПДн обязан своевременно уведомлять
Оператора ПДн об изменении своих персональных данных.
1. Осуществлять обработку персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
2. Назначать лицо, ответственное за организацию обработки персональных данных;
3. Принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, неправомерного уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
4. Сообщать в установленном законом порядке субъектам персональных данных или их представителям информацию об обработке и наличии персональных данных, относящихся к соответствующим субъектам персональных данных, а также предоставлять возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
5. Предоставить документы и локальные акты и (или) иным образом подтвердить принятие мер, направленных на обеспечение выполнения Оператором своих обязанностей в отношении обработки персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных; 7.8. Оператор, получившие доступ к персональным данным, обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. Исполнять иные обязанности, возложенные на Оператора законодательством Российской Федерации в области персональных данных[5];
7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Персональные данные обрабатываются Оператором для достижения следующих целей:
1. реализации видов деятельности, определенных уставом Оператора;
2. организации учета работников Оператора с учетом соблюдения законодательства и иных нормативно-правовых актов Российской Федерации;
3. содействия работнику в трудоустройстве, обучении, продвижении по службе;
4. пользования различного вида льготами и выполнения требований, возложенных на Оператора в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Административным кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», «Об архивном деле в Российской Федерации», «О воинской обязанности и военной службе» и соответствующими им подзаконными актами;
5. осуществления маркетинговой деятельности ОАО «ИнфоТеКС»;
6. взаимодействия с участниками проводимых мероприятий в рамках их планирования, организации и проведения;
7. осуществления односторонних и иных сделок в рамках возникновения, изменения и прекращения правоотношений Оператора с третьими лицами;
8. осуществления доступа на объекты ОАО «ИнфоТеКС» (посетителей, работников и других субъектов ПДн);
9. реализации обратной связи и осуществление взаимодействия с Оператором.
Оператор осуществляет обработку
персональных данных субъектов ПДн в соответствии со следующими нормативными
правовыми актами:
1. Конституция Российской Федерации;
2. Гражданский кодекс Российской Федерации;
3. Налоговый кодекс Российской Федерации;
4. Трудовой кодекс российской федерации;
5. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
6. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
7. Приказ Министерства культуры и массовых коммуникаций Российской Федерации от 31.07.2007 № 1182 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения»;
8. Приказ Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
9. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
10. Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
11. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
12. Иные нормативные правовые акты, являющиеся основанием в соответствии с действующими нормами законодательства в области персональных данных.
Субъектами персональных данных, обрабатываемых Оператором, являются:
1. работники Оператора;
2. близкие родственники работников Оператора;
3. клиенты и потенциальные клиенты;
4. участники мероприятий, организуемых Оператором;
5. лица, заключающие договоры с Оператором (представители этих лиц);
6. соискатели (кандидаты) на вакантные должности;
7. работники контрагентов по гражданско-правовым договорам, заключенным с Оператором;
8. посетители офисов Оператора;
9. пользователи сайтов Оператора;
10. иные лица, выразившие согласие на обработку Оператором их персональных данных, а также направившие Оператору, поступившие к нему, заявления и обращения.
В информационных системах персональных данных обрабатываются следующие категории персональных данных:
1. фамилия, имя, отчество;
2. год, число, месяц рождения, место рождения;
3. паспортные данные или данные иного документа, его заменяющего (серия и номер, кем выдан, когда, фотография);
4. адрес регистрации;
5. адрес фактического места жительства;
6. номера телефонов;
7. номер страхового свидетельства ПФ РФ;
8. идентификационный номер налогоплательщика;
9. образование: серия, номера диплома, название учебного заведения, год окончания учебного заведения, специальность;
10. ученая степень, ученое звание;
11. место работы;
12. должность;
13. информация о прежних местах работы (месяц и год начала работы, месяц и год окончания работы, название организации, должность);
14. отношение к воинской обязанности: годность к военной службе, номер военного билета, военно-учетная специальность, звание;
15. информация о доходах;
16. наличие судимостей (в момент приема на работу);
17. семейное положение;
18. информация о детях;
19. сведения о супруге;
20. сведения о родителях;
21. сведения о заграничном паспорте (если есть): серия и номер, кем выдан, когда (в момент приема на работу);
22. факты выезда за границу (в момент приема на работу);
23. номер полиса медицинского страхования;
24. сведения, содержащиеся в больничных листах (листах временной нетрудоспособности);
25. медицинские заключения в отношении годности (ограничений) к трудовой (в т.ч. профессиональной) деятельности;
26. адреса электронной почты;
27. адрес личного сайта.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
1. Обработка персональных данных Оператором осуществляется с согласия Субъекта персональных данных кроме случаев, описанных ниже.
2. Обработка персональных данных может осуществляться без согласия субъекта персональных данных в случаях, установленных законодательством Российской Федерации. Случаи, когда согласие субъекта на обработку его персональных данных не требуется, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и положениями федерального законодательства[6].
3. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования и включает в себя, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4. Оператор обеспечивает хранение персональных данных с использованием баз данных, находящихся на территории Российской Федерации в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»[7].
5. Оператор осуществляет обработку персональных данных, полученных от лиц, не являющихся субъектами персональных данных, при наличии оснований, предусмотренных ч. 8 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1. В случае подтверждения факта неправомерности обработки персональных данных, Оператор прекращает их обработку, в срок, не превышающий трех рабочих дней с даты этого выявления.
2. В случае неточности персональных данных уточнение неточных персональных данных осуществляется в срок не превышающий семи календарных дней.
3. Обработка запросов субъектов персональных данных и их законных представителей, а также уполномоченных органов осуществляется Оператором в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1. Информация, относящаяся к персональным данным, ставшая известной Оператору подлежащей защите.
2. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам Оператора, в том числе, относятся:
a. Назначен ответственный за организацию обработки персональных данных;
b. Утверждены локальные акты по вопросам обработки персональных данных, предотвращения, выявления и устранения последствий нарушений законодательства Российской Федерации, с обязательным ознакомлением с ними сотрудников Оператора;
c. Сотрудники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области персональных данных, а также соответствующих локальных актов;
d. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым нормативным правовым актам, требованиям к защите персональных данных, локальным актам Оператора;
e. Обеспечена физическая безопасность помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
f. Ограничен и разграничен доступ сотрудников и иных лиц к персональным данным и средствам обработки, осуществляется контроль обработки персональных данных;
g. Внедрены различные средства обеспечения информационной безопасности (антивирусные средства, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты информации);
h. Иные меры, предусмотренные законодательством Российской Федерации и исполнительными органами государственной власти, уполномоченными осуществлять нормативное регулирование в области обработки и обеспечения безопасности персональных данных.
1. Если иное не предусмотрено законодательством Российской Федерации. либо договором Оператора с субъектом персональных данных, срок прекращения обработки (хранения) персональных данных не превышает 30 календарных дней с даты достижения целей обработки персональных данных, даты ликвидации Оператора или с даты отзыва субъектом персональных данных согласия на обработку персональных данных.
Оператор прекращает обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора в следующих случаях:
1. выявление неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора;
2. достижения цели обработки персональных данных;
3. отзыва субъектом персональных данных согласия на обработку его персональных данных;
4. истечение срока действия согласия субъекта персональных данных на обработку его персональных данных;
5. прекращение деятельности Оператора.
1. Действующая редакция Политики доступна на сайте Оператора и по адресу места нахождения Оператора.
2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом защиты информации Оператора в пределах их полномочий.
1. Заявление субъекта персональных данных об отзыве согласия на обработку персональных данных (далее – Заявление) должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Заявление может быть представлено в виде документа на материальном носителе и подписано собственноручной подписью субъекта персональных данных, либо может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.
Заявление в виде документа на материальном носителе предоставляется по адресу г. Москва, Старый Петровско-Разумовский проезд, дом 1/23, стр. 1, ОАО «ИнфоТеКС».
2. Все поступившие Заявления субъектов персональных данных регистрируются в день их поступления. На Заявлении проставляется штамп, в котором указывается входящий номер и дата регистрации.
3. Ответственный за обработку персональных данных осуществляет организацию деятельности по исполнению Заявления.
4. Если сохранение персональных данных более не требуется для целей обработки персональных данных, и при отсутствии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ, персональные данные заявителя уничтожаются или обеспечивается их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления Обращения.
В случае отсутствия возможности уничтожения персональных данных в тридцатидневный срок, осуществляется блокирование таких персональных данных или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивается уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5. Уничтожение персональных данных субъекта осуществляется комиссией, созданной на основании приказа Генерального директора ОАО «ИнфоТеКС». В состав комиссии обязательно включается ответственных за обработку персональных данных. По факту уничтожения персональных данных субъекта оформляется акт о прекращении обработки персональных данных.
Генеральному директору ОАО «ИнфоТеКС»
А.А. Чапчаеву
от _________________________________________________
(ФИО субъекта персональных данных)
_________________________________________________
(Паспортные данные субъекта персональных данных)
_________________________________________________
(адрес регистрации субъекта персональных данных)
ЗАЯВЛЕНИЕ
на отзыв согласия на обработку персональных данных
В соответствии с ч. 5 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» отзываю свое согласие на обработку моих персональных данных, ранее выданное ОАО «ИнфоТеКС» в целях____________________ ___________________ ____________________ _______________________
_____________________________________ / ____________________________________
(подпись) (расшифровка
подписи)
Дата:
1. В случае выявления неточных персональных данных субъектом персональных данных субъекту персональных данных (при наличии у него технической возможности) предоставляется право самостоятельно внести необходимые изменения в свои персональные денные.
2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных осуществляется блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3. Ответственный за обработку персональных данных организует мероприятия по проверке факта неточности персональных данных.
4. В случае подтверждения факта
неточности персональных данных на основании сведений, представленных субъектом
персональных данных или его представителем либо уполномоченным органом по
защите прав субъектов персональных данных, или иных необходимых документов
осуществляется уточнение персональные данных либо обеспечивается их уточнение
(если обработка персональных данных осуществляется другим лицом, действующим по
поручению оператора) в течение семи рабочих дней со дня представления таких
сведений и обеспечивается снятие блокирования персональных данных.
5. Внесение изменений в персональные данные субъекта осуществляется лицом, эксплуатирующим ИСПДн в присутствии Ответственного за обработку персональных данных. По факту уничтожения персональных данных субъекта оформляется акт о внесении изменений в персональные данные субъекта.
Генеральному директору ОАО «ИнфоТеКС»
А.А. Чапчаеву
от _________________________________________________
(ФИО субъекта персональных данных)
_________________________________________________
(Паспортные данные субъекта персональных данных)
_________________________________________________
(адрес регистрации субъекта персональных данных)
ЗАЯВЛЕНИЕ
на внесение изменений в персональные данные
В соответствии с ч. 1 ст. 21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» прошу устранить следующие неточности в моих персональных данных:
Указывается какие персональные
данные требуют корректировки с указанием документальных обоснований такой
корректировки.
_____________________________________ / ____________________________________
(подпись) (расшифровка
подписи)
Дата:
[1] Термины и определения, используемые в Политике, гармонизированы со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
[2] Ст. 14, п.1 и п.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
[3] Ст. 17, п.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
[4] Ст. 17, п.2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
[5] Ст. 4, п.1 - п.4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
[6] Ст.6 Федерального закона от 27.07.2006 «О персональных данных»
[7] Ст. 18, п. 5 Федерального закона от 27.07.2006 «О персональных данных»