ПОЛИТИКА
обработки персональных данных
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с требованиями законодательства Российской Федерации.
1.2. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПД).
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов ПД.
2. Цели обработки персональных данных
2.1. Персональные данные обрабатываются Оператором в следующих целях:
- осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
- выполнение требований законодательства в сфере труда и налогообложения;
- ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
- выполнение требований законодательства по определению порядка обработки и защиты ПД граждан, являющихся клиентами или контрагентами (далее – Субъекты ПД).
- осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом, либо достижения общественно значимых целей;
- в иных законных целях.
3. Правовое основание обработки персональных данных
3.1. Обработка ПД осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»;
- Федерального закона № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ № 687 от 15.09.2008;
- Постановления Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Приказа ФСТЭК России № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказа Роскомнадзора № 996 от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ ФНС № ММВ-7-3/611 от 17.11.2010 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
- Иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.
4. Перечень действий с персональными данным
4.1. При обработке ПД Оператор будет осуществлять следующие действия с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Состав обрабатываемых персональных данных
5.1. Обработке Оператором подлежат ПД следующих категорий Субъектов ПД: - работники Оператора; - клиенты Оператора; - контрагенты Оператора; - физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Состав ПД каждой из перечисленных в п.
5.1 настоящего Положения категории Субъектов ПД определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Оператора, изданным для обеспечения их исполнения.
5.3. В случаях, предусмотренных действующим законодательством, Субъект ПД принимает решение о предоставлении его ПД Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.5. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется.
6. Способы обработки персональных данных
6.1. Обработка персональных данных осуществляется Оператором следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
7. Обеспечение защиты персональных данных при их обработке Оператором
7.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей в области обработки ПД. К таким мерам относятся: - назначение Оператором ответственного сотрудника за организацию обработки ПД; - издание Оператором документов, определяющих политику в отношении обработки ПД, локальных актов по вопросам обработки ПД, а также локальных актов, устанавливающих процедуры, направленные на предотвращение нарушений законодательства Российской Федерации и устранение последствий таких нарушений; - применение правовых, организационных и технических мер по обеспечению безопасности ПД; - осуществление внутреннего контроля и аудита соответствия обработки ПД требованиям законодательства Российской Федерации, политике Оператора в отношении обработки ПД, локальным актам Оператора; - оценка вреда, который может быть причинен Субъектам ПД в случае допущенных нарушений, соотношение указанного вреда и принимаемых Оператором мер по его устранению; - ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД и обучение указанных сотрудников.
7.2. Оператор при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
8. Право субъекта на доступ к его персональным данным
8.1. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Сведения предоставляются Субъекту ПД или его представителю Оператором при обращении либо при получении запроса Субъекта ПД или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПД в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись Субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
- подтверждение факта обработки ПД Оператором;
- правовые основания и цели обработки ПД;
- применяемые Оператором способы обработки ПД;
- наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на законных основаниях;
- состав ПД и источник их получения, относящиеся к соответствующему Субъекту ПД;
- сроки обработки ПД, в том числе сроки их хранения;
- порядок осуществления Субъектом ПД законных прав в отношении своих ПД;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПД;
- наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу.
8.4. Если Субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, Субъект ПД вправе обжаловать действия или бездействие Оператора в орган, уполномоченный по вопросам защиты прав субъектов ПД, или в судебном порядке.
8.5. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков или компенсацию морального вреда в судебном порядке.