1.Основные положения
Настоящая политика в отношении обработки персональных данных определяет позицию и намерения Предприятия в области обработки и защиты персональных данных физических лиц, состоящих в договорных (в том числе трудовых) отношениях с предприятием, а также акционеров, членов совета директоров и ревизионной комиссии предприятия (далее – субъект персональных данных, субъект ПД), обеспечении их целостности и сохранности.
Политика предназначена для изучения и неукоснительного исполнения сотрудниками предприятия, имеющими доступ к персональным данным субъектов ПД.
2. Понятие обработки персональных данных, цели и принципы обработки персональных данных
Одна из приоритетных задач в работе предприятия - соблюдение действующего законодательства Российской Федерации в области обработки персональных данных, в том числе требований Федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту ПД).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Персональные данные субъектов ПД обрабатываются в следующих целях:
- осуществление и выполнение возложенных законодательством Российской Федерации на предприятие функций, полномочий и обязанностей;
- заключение договоров/контрактов и исполнение договорных/контрактных обязательств предприятием в рамках осуществления хозяйственной деятельности;
- в иных законных целях.
При обработке персональных данных субъектов ПД предприятие придерживается следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Предприятие должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- иных принципов, предусмотренных действующим законодательством Российской Федерации.
3.Состав персональных данных, способы их обработки и условия допуска к обработке персональных данных
В состав обрабатываемых предприятием персональных данных могут входить:
- фамилия, имя, отчество;
- дата рождения, возраст;
- паспортные данные;
- адрес регистрации и адрес фактического проживания;
- иные сведения, которые субъект ПД обязан представить предприятию во исполнение требований действующего законодательства Российской Федерации, а также сведения, которые могут предоставлены субъектом ПД с его согласия.
Предприятие не обрабатывает персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, когда такая обработка допускается в соответствии с нормами действующим законодательством Российской федерации.
Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника с нормами законодательства Российской Федерации в области обработки персональных данных;
- ознакомление сотрудника с локальными нормативными актами (положения, инструкции), строго регламентирующими порядок и процедуру работы с персональными данными;
- получение от сотрудника соглашения о соблюдении конфиденциальности в отношении персональных данных при работе с ними.
Сотрудникам, осуществляющим обработку персональных данных, для исполнения трудовых обязанностей предоставляется минимально необходимый объем персональных данных.
4. Хранение персональных данных
Персональные данные субъектов ПД хранятся в бумажном и электронном виде.
В бумажном виде персональные данные субъектов ПД хранятся в специально отведенных запирающихся шкафах, обеспечивающих их защиту от несанкционированного доступа третьих лиц.
В электронном виде персональные данные субъектов ПД хранятся в информационных системах персональных данных предприятия, в резервных копиях этих информационных систем, а также на электронных носителях и обеспечены от несанкционированного доступа третьих лиц системой паролей. Пароли меняются не реже 1 (одного) раза в 6 (шесть) календарных месяцев.
Сроки хранения персональных данных - до достижения целей обработки или до момента утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
При хранении персональных данных соблюдаются организационные и технические меры, установленные на предприятии, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся, в том числе:
- назначение в подразделении, осуществляющем обработку персональных данных, ответственного за хранение персональных данных;
- учет всех носителей, информационных систем, а так же резервных копий этих систем, содержащих персональные данные;
- ограничение физического доступа к информационным системам, резервным копиям этих систем и носителям персональных данных.
5. Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных на предприятии достигается следующими мерами:
- разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных;
- разработкой и реализацией технических и организационных мер, снижающих вероятность реализаций угроз безопасности персональных данных;
- назначением сотрудника, ответственного за организацию обработки персональных данных и обеспечение контроля за соблюдением требований, установленных на предприятии в отношении обработки персональных данных;
- ограничением круга сотрудников, имеющих доступ к персональным данным;
- определением списка сотрудников, допущенных к работе с персональными данными и ознакомление таких сотрудников с законодательством Российской Федерации в области обработки персональных данных и локальными нормативными актами, регламентирующими порядок их обработки до момента допуска к работе с персональными данными;
- проведением периодического внутреннего аудита информационных систем и носителей, содержащих персональные данные;
- проведением периодических проверок состояния защищенности информационных систем и носителей, содержащих персональные данные.
Защита персональных данных субъектов ПД от неправомерного использования и утраты обеспечивается предприятием за его счет в порядке, установленном действующим законодательством РФ.
6. Права субъектов ПД в области обращения с персональными данными
Субъекты ПД имеют право:
- на полную информацию об их персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПД, за исключением случаев, предусмотренных действующим законодательством РФ;
- на определение своих представителей для защиты своих персональных данных;
- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства РФ. При отказе предприятия исключить или исправить персональные данные субъект ПД имеет право заявить в письменной форме предприятию о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект ПД имеет право дополнить заявлением, выражающим его собственную точку зрения;
- на требование об извещении предприятием всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на доступ к медицинской документации, отражающей состояние здоровья физических лиц, состоящих в договорных (в том числе трудовых) отношениях с предприятием с помощью медицинского работника по их выбору ;
- обжалование в суд любых неправомерных действий или бездействия предприятия при обработке и защите персональных данных.
7. Пересмотр положений Политики
Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также при изменении законодательства Российской Федерации в области персональных данных.
После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте предприятия.
