ПОЛИТИКА в отношении обработки персональных данных АйЭсТи
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью «АйЭсТи» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных».
1.2. Основные понятия, используемые в настоящей Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных – это обязательное для выполнения Обществом и иными лицами, получившими доступ к персональным данным, требование не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
сайт в сети «Интернет» (далее – сайт) – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
1.4. Руководство общества с ограниченной ответственностью «АйЭсТи» (далее – ООО «АйЭсТи», Общество) берет на себя обязательства по обеспечению исполнения требований действующего законодательства в области организации обработки и обеспечения защиты персональных данных, соблюдению прав субъектов персональных данных, а также по обеспечению реализации настоящей Политики всеми работниками Общества.
1.5. Настоящая Политика распространяется на все персональные данные субъектов персональных данных, обрабатываемые в Обществе.
1.6. Субъект персональных данных имеет право:
-
принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
-
отозвать согласие на обработку персональных данных;
-
получить информацию, касающейся обработки его персональных данных в Обществе;
-
требовать от Общества уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки персональных данных.
1.7. Политика подлежит опубликованию на официальном сайте ООО «АйЭсТи» в сети «Интернет» для обеспечения неограниченного доступа к документу.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных в Обществе осуществляется на законной и справедливой основе и ограничивается достижением следующих целей:
-
кадровое делопроизводство и управление персоналом;
-
ведение бухгалтерского и налогового учета;
-
подготовка, заключение и исполнение гражданско-правовых договоров и (или) соглашений с контрагентами (физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами);
-
осуществление функций поддержки работников Общества с использованием корпоративного информационного портала;
-
осуществление воинского учета;
-
осуществление образовательной деятельности;
-
установление контактов с потенциальными контрагентами, соискателями работы в Обществе и обучающимися;
-
проведение маркетинговых исследований.
2.2. Не допускается обработка персональных данных, несовместимая с установленными настоящей Политикой целями обработки персональных данных.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовым основанием обработки персональных данных в Обществе является:
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ и услуг для обеспечения государственных и муниципальных нужд»;
Федеральный закон от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
Федеральный закон от 29.12.2006 № 55-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
Федеральный закон от 15.12.2002 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
Федеральный закон от 26.02.1998 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
Федеральный закон от 31.05.1996 № 61-ФЗ «Об обороне»;
согласие субъекта персональных данных на обработку его персональных данных;
гражданско-правовые договоры и (или) соглашения, заключаемые с контрагентами Общества.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В соответствии с установленными настоящей Политикой целями обработки персональных данных ООО «АйЭсТи» осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
-
работники Общества;
-
близкие родственники работников Общества;
-
работники контрагентов Общества – физические лица;
-
поставщики товаров;
-
соискатели работы в Обществе;
-
представители потенциальных контрагентов;
-
обучающиеся в Обществе;
-
бывшие работники Общества;
-
посетители официального сайта ООО «АйЭсТи».
4.2. Категории и перечень обрабатываемых персональных данных для каждой цели обработки персональных данных определяются в локальных правовых актах Общества по вопросам обработки персональных данных.
4.3. Общество не обрабатывает биометрические персональные данные.
4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, информации о судимости Обществом не осуществляется.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных».
5.2. Обработка персональных данных осуществляется в случаях:
1) предоставления согласия субъектом персональных данных на обработку его персональных данных;
2) исполнения обязанностей, возложенных на Общество законодательством Российской Федерации;
3) участия в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5) исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) необходимости защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) осуществления обработки персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
9) осуществления обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.3. При обработке персональных данных Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.4. В Обществе обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств.
5.5. Сроки обработки, в том числе хранения, персональных данных субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных определяются Обществом в соответствии с законодательством Российской Федерации.
5.6. Общество обеспечивает обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.7. Общество не осуществляет трансграничную передачу персональных данных.
5.8. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
5.9. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
5.10. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством.
5.11. Общество прекращает обработку персональных данных при достижении целей обработки персональных данных, истечении срока действия согласия или отзыве согласия субъекта персональных данных на обработку его персональных данных, а также при прекращении деятельности Общества.
5.12. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
6.1. При обработке персональных данных ООО «АйЭсТи» принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных в ООО «АйЭсТи» достигается:
-
назначением ответственного за организацию обработки персональных данных;
-
изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
-
осуществлением внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных;
-
оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
-
ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
-
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
-
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
-
учетом машинных носителей персональных данных;
-
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
-
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
установлением правил доступа к персональным данным, обрабатываемым в информационных систем персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.3. Общество обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Обществом обеспечивается актуальность обрабатываемых персональных данных по отношению к целям их обработки.
7.2. Обработка персональных данных, ставших неактуальными, прекращается и они подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе прекратить обработку персональных данных на основаниях, предусмотренных федеральными законами.
7.3. Обществом обеспечивается точность обрабатываемых персональных данных.
7.4. В случае выявления неточных персональных данных Общество вносит необходимые исправления на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов. При выявлении неточных персональных данных у субъекта персональных данных Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, на период их уточнения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.5. Обществом обеспечивается уничтожение обрабатываемых персональных данных в случаях:
-
подтверждения факта о незаконно полученных персональных данных;
-
отсутствие необходимости обработки персональных данных для целей, установленных настоящей Политикой;
-
выявления неправомерной обработки персональных данных и обеспечить правомерность обработки персональных данных невозможно;
-
достижения целей обработки персональных данных;
-
отзыва субъектом персональных данных согласия на обработку его персональных данных.
7.6. Общество сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Общество несет ответственность за соблюдение требований действующего законодательства в области персональных данных, а также за обеспечение безопасности персональных данных при их обработке.
8.2. Работники Общества, виновные в нарушении требований Федерального закона «О персональных данных», нормативных правовых актов, локальных нормативных актов Общества, регулирующих отношения, связанные с обработкой персональных данных, несут дисциплинарную, ответственность в порядке, установленном законодательством Российской Федерации.
8.3. Политика действует бессрочно до замены ее новой версией.