1. Общие положения
1.1 Настоящая политика в отношении обработки персональных данных (далее - Политика) составлена в соответствии с положениями Федерального закона от 27.06.2006 No 152-ФЗ «О персональных данных»., требованиями международного законодательства и является основополагающим внутренним регулятивным документом компании ООО « Перфектерра », (далее – Компания), определяющим ее ключевые направления в отношении обработки персональных данных в Компании.
1.2 Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Компании, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3 Основные понятия, используемые в Политике:
– персональные данные. Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– оператор персональных данных (оператор). Предприятие, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных. Любое действие (операция) или совокупность действий (операций) с персональными данными, совер- шаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изме- нение), извлечение, использование, передачу (распространение, предо- ставление, доступ), обезличивание, блокирование, удаление, уничтожение;
– автоматизированная обработка персональных данных. Обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных. Действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных. Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных. Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных. Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных. Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных. Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– трансграничная передача персональных данных. Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или ино- странному юридическому лицу;
– субъект персональных данных. Физическое лицо, данные которого обрабатываются;
– конфиденциальность персональных данных. Обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4 Действие настоящей Политики распространяется на все действия, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.
1.5 Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.
1.6 Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Введение
2.1 Компания является оператором персональных данных.
2.2 Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
3. Принципы и условия обработки персональных данных в Компании
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Компании является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности персональных данных Компания руководствуется следующими принципами:
– законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
– системность: обработка персональных данных в Компании осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
– комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Компании и других имеющихся в Компании систем и средств защиты;
– непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
– своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
– преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Компании с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, международного опыта в сфере защиты информации;
– персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
– минимизация прав доступа: доступ к персональным данным предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
– гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Компании, а также объема и состава обрабатываемых персональных данных;
– специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
– эффективность процедур отбора кадров: кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных;
– наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
– непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты, а результаты контроля регулярно анализируются.
3.3. В Компании не производится обработка персональных данных, несовместимая с целями их сбора. В случае, если это не противоречит действующему законодательству, по окончании обработки персональных данных в Компании, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Компанией персональных данных уничтожаются или обезличиваются.
4. Обработка персональных данных.
4.1. Обработка персональных данных осуществляется: – с согласия субъекта персональных данных на обработку его персональных данных; – в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством функций, полномочий и обязанностей; – в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных). Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Компании.
4.2 Цели обработки персональных данных:
– оказание услуг на сайтах, принадлежащих Компании;
– осуществление трудовых отношений;
– осуществление гражданско-правовых отношений.
4.3. Категории субъектов персональных данных.
В Компании обрабатываются персональные данные следующих субъектов:
– физические лица, состоящие с Компанией в трудовых отношениях;
– физические лица, являющиеся соискателями на вакансии Компании;
– физические лица, состоящие с Компанией в гражданско-правовых отношениях;
– физические лица, обратившиеся в Компанию по вопросам ее деятельности.
4.4. Персональные данные, обрабатываемые Компанией:
– данные полученные при осуществлении трудовых отношений;
– данные полученные для осуществления отбора соискателей на вакансии Компании;
– данные полученные при осуществлении гражданско-правовых отношений;
– данные полученные при оказании услуг, предоставляемых Компанией, в том числе на принадлежащих ей сайтах в сети Интернет.
4.5. Обработка персональных данных ведется:
– с использованием средств автоматизации.
– без использования средств автоматизации.
4.6. Сроки обработки персональных данных определены с учетом:
- установленных целей обработки персональных данных;
- сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
4.7. Компания осуществляет обработку персональных данных на законной и справедливой основе.
4.8. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.9. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных.
4.10. Компания не осуществляет обработку биометрических персональных данных.
4.11. Компания осуществляет трансграничную передачу персональных данных.
4.12. В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
5. Права субъектов персональных данных, обрабатываемых в Компании
5.1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Исполнение обязанностей оператора Компанией
6.1 Компания получает персональные данные от субъектов персональных данных и от третьих лиц (лиц, не являющихся субъектами персональных данных).
6.2 Компания прекращает обработку персональных данных в следующих случаях:
- по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
- по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Компанией исключительно на основании согласия субъекта персональных данных);
- в случае ликвидации Компании.
6.3 Компанией для обеспечения выполнения обязанностей, предусмотренных международным законодательством о защите персональных данных и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:
6.3.1. Назначено лицо, ответственное за организацию обработки персональных данных;
6.3.2. Изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений:
- настоящая Политика;
- другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
6.3.3. Применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
6.3.4. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства, локальных актов Компании;
7. Защита персональных данных
7.1. В соответствии с требованиями нормативных документов Компанией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
7.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
7.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
7.5. Основными мерами защиты персональных данных, используемыми Компанией, являются:
7.5.1. Назначение лица ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, внутренний контроль за соблюдением Компанией и ее работниками требований к защите персональных данных;
7.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в Информационной системе персональных данных (ИСПД), и разработка мер и мероприятий по защите персональных данных;
7.5.3. Разработка политики в отношении обработки персональных данных;
7.5.4. Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с персональных данных в ИСПД;
7.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
7.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обеспечение их сохранности;
7.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
7.5.8. Сертифицированное программное средство защиты информации от несанкционированного доступа;
7.5.9. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
7.5.10. Установление правил доступа к обрабатываемым персональных данных, обеспечение регистрации и учета действий, совершаемых с персональных данных, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
7.5.11. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.5.12. Осуществление внутреннего контроля и аудита.