Политика в отношении обработки персональных данных

1. Общие положения
1.1 Политика Общества с ограниченной ответственностью «ЦЕНТР ГУМАНИТАРНОГО РАЗМИНИРОВАНИЯ И ОБОРОННО-ИНЖЕНЕРНЫХ ПРОЕКТОВ» (Далее — ООО «ЦГРиОИП») в отношении обработки персональных данных (далее — Политика) определяет общие принципы и порядок обработки персональных данных (далее — ПДн) и меры по обеспечению их безопасности.
1.2 Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.
1.3 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПДн:
— Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн в ООО «ЦГРиОИП» (далее — Предприятие), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
1.5 Предприятие публикует настоящую Политику в открытом доступе на своем официальном сайте в сети Интернет.
1.6 Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПДн.
1.7 В настоящей Политике используются следующие термины и определения:
  • персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
  • биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
2 Статус Предприятия и категории субъектов, чьи персональные данные обрабатываются Предприятием
2.1 Предприятие является оператором, осуществляющим обработку персональных данных в отношении персональных данных следующих физических лиц (субъектов ПДн):
2.1.1 состоящих в трудовых отношениях с Предприятием и выполняющих должностные обязанности (трудовые функции) в соответствии с заключенными с ними трудовыми договорами или выполняющих работы в интересах Предприятия в соответствии с заключенными с ними договорами гражданско-правового характера (далее — Работники);
2.1.2 кандидатов на соискание вакантной должности (профессии) (далее — Кандидат);
2.1.3 представителей контрагентов Предприятия, с которыми у Предприятия существуют договорные отношения или с которыми Предприятие намерено вступить в договорные отношения (далее — Представители контрагентов).
2.2 Предприятие является юридическим лицом, организующим обработку ПДн по поручению других операторов, к которым относятся (не исчерпывая):
2.2.1 органы государственной власти и фонды обязательного страхования, в которые перечисляются средства Работников или средства для зачисления на счет Работников (Федеральная налоговая служба, Фонд пенсионного и социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и др.) — в объеме, определенном соответствующими органами власти и фондами обязательного страхования;
2.2.2 федеральные органы исполнительной власти в области обороны, которым предоставляются ПДн Работников, в соответствии с законодательством Российской Федерации и нормативно-правовыми актами, принятыми соответствующими органами в рамках их компетенции (Минобороны России и др.), а также организациям, предоставление сведений которым предусмотрено нормативно-правовыми актами (далее — НПА) органов управления обороной в объеме, определенном соответствующими федеральными законами и НПА.
3 Принципы и условия обработки персональных данных
Обработка ПДн Предприятием осуществляется в соответствии со следующими принципами:
3.1 Законность и справедливая основа обработки ПДн. Предприятие принимает все необходимые меры по выполнению требований законодательства, не обрабатывает ПДн в случаях, когда это не допускается законами Российской Федерации, не использует ПДн во вред субъектам.
3.2 Ограничение обработки ПДн достижением конкретных, заранее определённых и законных целей. Целями обработки ПДн Предприятием являются:
3.2.1 в отношении Работников/Кандидатов — содействие в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества Предприятия;
3.2.2 в отношении Представителей контрагентов — выполнение норм Гражданского кодекса Российской Федерации о договорной работе, ведение бухгалтерского учета;
3.2.3 а также иные цели в строгом соответствии с действующим законодательством Российской Федерации, в том числе цель исполнения федерального законодательства в сфере противодействия легализации (отмывания) доходов, полученных преступным путем, и финансирование терроризма.
3.3 Обработка только тех ПДн, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых ПДн заявленным целям обработки. Недопущение обработки ПДн, не совместимой с целями сбора ПДн. Недопущение обработки избыточных ПДн по отношению к заявленным целям их обработки. Предприятие заявляет, что не собирает и не обрабатывает ПДн, не требующиеся для достижения целей, указанных в п. 3.2 настоящей Политики, не использует ПДн субъектов в каких-либо целях, отличных от указанных выше.
3.4 Недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой. ПДн обрабатываются Предприятием с использованием систем управления базами данных и приложений, не допускающих объединения сведений о различных категориях субъектов, перечисленных в п. 3.2 настоящей Политики.
3.5 Обеспечение точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн. Предприятие принимает все разумные меры по поддержке актуальности обрабатываемых ПДн, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои ПДн (кроме случаев ограничения этого права федеральными законами) и требовать от Предприятия их уточнения, блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
3.6 Уничтожение либо обезличивание ПДн по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Предприятием допущенных нарушений ПДн, если иное не предусмотрено федеральными законами.
3.7 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
3.8 Обработка ПДн Предприятием допускается в следующих случаях:
3.8.1 обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
3.8.2 обработка ПДн необходима для достижения целей, предусмотренных уставом Предприятия, законодательством Российской Федерации, в том числе об обязательных видах страхования, страховым законодательством, законодательством о государственной социальной помощи, трудовым законодательством, законодательством о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
3.8.3 обработка ПДн необходима для осуществления прав и законных интересов Предприятия или третьих лиц, установленных законодательством Российской Федерации или нормативно-правовыми актами федеральных органов исполнительной власти, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных. К такой деятельности относится предоставление сведений в органы Министерства обороны РФ и/или определенные им организации, деятельность по совершенствованию оказываемых услуг, созданию новых услуг Предприятия;
3.8.4 обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
3.8.5 осуществляется обработка ПДн, к которым доступ неограниченного круга лиц предоставлен субъектом ПДн либо по его просьбе.
3.9 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.10 При поручении обработки ПДн другому лицу Предприятие заключает договор с этим лицом и получает согласие субъекта ПДн на обработку его ПДн, в том числе на поручение обработки ПДн другому лицу, если иное не предусмотрено федеральным законом. При этом Предприятие в поручении обязует лицо, осуществляющее обработку персональных данных по поручению Предприятия, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».
3.11 В случаях, когда Предприятие поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия данного лица несет Предприятие. Лицо, осуществляющее обработку ПДн по поручению Предприятия, несет ответственность перед Предприятием.
3.12 В случаях, когда Предприятие осуществляет обработку ПДн по поручению оператора, Предприятие не обязано получать согласие субъекта ПДн на обработку его ПДн. Сбор согласий субъектов ПДн на обработку их ПДн, в том числе на поручение обработки ПДн Предприятию, осуществляет оператор, если иное не предусмотрено федеральным законом.
3.13 Предприятие, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.
3.14 Предприятие не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом или НПА органов управления обороной государства.
3.15 Предприятие может осуществлять обработку данных о состоянии здоровья субъекта ПДн в следующих случаях:
3.15.1 в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
3.15.2 для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и, когда получение согласия субъекта ПДн невозможно;
3.15.3 для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
3.15.4 в соответствии с законодательством об обязательных видах страхования и со страховым законодательством.
3.16 Обработка ПДн о судимости может осуществляться Предприятием исключительно в случаях и в порядке, установленных федеральными законами.
3.17 Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) на Предприятии не обрабатываются.
3.18 Предприятие осуществляет трансграничную передачу ПДн только в следующих случаях:
3.18.1 при наличии согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
3.18.2 когда это предусмотрено международными договорами Российской Федерации;
3.18.3 для исполнения договора, стороной которого является Работник, Контрагент или Представитель контрагента, предусматривающего трансграничную передачу ПДн.
3.19 Предприятие не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы субъектов, на основании исключительно автоматизированной обработки ПДн.
Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных Работников Предприятия.
4 Обязанности Предприятия
4.1. Обработка ПДн Предприятием осуществляется в соответствии со следующими принципами:
· предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;
· по требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;
· уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:
  • субъект ПДн уведомлен об осуществлении обработки Предприятием его ПДн соответствующим оператором;
  • ПДн получены Предприятием в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, или на основании федерального закона;
  • ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
  • Предприятие осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;
· в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Предприятием и субъектом ПДн либо если Предприятие не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами;
· в случае отзыва субъектом ПДн согласия на обработку своих ПДн — прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Предприятием и субъектом ПДн. Об уничтожении ПДн Предприятие обязано уведомить субъекта ПДн;
· в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, — немедленно прекратить обработку ПДн.
5. Права субъекта персональных данных
В соответствии с ФЗ «О персональных данных» субъект ПДн имеет право:
· получать сведения, касающиеся обработки ПДн Предприятием, а именно:
  • подтверждение факта обработки ПДн Предприятием;
  • правовые основания и цели обработки ПДн Предприятием;
  • применяемые Предприятием способы обработки ПДн;
  • наименование и местонахождение Предприятия, сведения о лицах (за исключением Работников Предприятия), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн Предприятием, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
  • информацию об осуществленной или предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Предприятия, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;
· требовать от Предприятия уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
· отозвать согласие на обработку ПДн в предусмотренных законом случаях.
6. Обеспечение безопасности персональных данных
6.1. Безопасность ПДн, обрабатываемых Предприятием, обеспечивается реализацией комплекса правовых, организационных, технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты ПДн.
Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных и принятыми в соответствии с ним нормативными правовыми актами, определяется Предприятием самостоятельно.
6.2. Обеспечение безопасности ПДн достигается, в частности:
· определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
· применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности ПДн;
· применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
· оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
· учетом машинных носителей ПДн;
· обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
· восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
· контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
7. Ограничения прав субъектов персональных данных
7.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы других лиц.
7.2. В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
7.3. Субъект ПДн вправе направить Предприятию повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п. 7.2 выше, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.
7.4. Предприятие вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 7.2 и 7.3.
8. Заключительные положения
8.1. Настоящая Политика вводится в действие с момента её утверждения.
8.2. Иные обязанности и права Предприятия как оператора, организующего обработку ПДн по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
8.3. Работники, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
8.4. Положения настоящей Политики пересматриваются по мере необходимости.
Обязательный пересмотр Политики проводится в случае изменений международного или национального законодательства в сфере ПДн.
При внесении изменений в положения Политики учитываются:
· изменения в информационной инфраструктуре и (или) в используемых Предприятием информационных технологиях;
· сложившаяся в Российской Федерации практика правоприменения законодательства в области ПДн;
изменение условий и особенностей обработки ПДн Предприятием в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.