Политика в сфере персональных данных

Область применения

Настоящая «Политика обработки и защиты персональных данных» (далее – Политика) определяет основные цели обработки в ООО «СТЭП ЛОДЖИК» (далее – Компания) персональных данных, категории субъектов персональных данных (далее – Субъектов), условия и способы обработки персональных данных, реализуемые меры по обеспечению безопасности персональных данных, права Субъектов и является обязательной для исполнения всеми работниками Компании.
Настоящая Политика составлена в соответствии с частью 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области обработки и защиты персональных данных и действует в отношении всех персональных данных, которые Компания обрабатывает. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

Нормативные ссылки

В настоящей политике использованы ссылки на следующие нормативные документы:

  • Трудовой кодекс Российской Федерации
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Термины и определения

  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту).
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Описание Политики

Общие положения

  • Обеспечение безопасности персональных данных является одной из приоритетных задач Компании.
  • Компания обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Цели обработки персональных данных

  • Целями обработки персональных данных являются:
    • исполнение требований Трудового кодекса Российской Федерации;
    • выполнение обязательств по трудовому договору;
    • осуществление бухгалтерского учета и подготовки отчетности, начислений и отчислений заработной платы и иных выплат;
    • оформление зарплатных карт;
    • оформление полисов добровольного медицинского страхования;
    • осуществление воинского учета;
    • содействие работнику в обучении и карьерном росте;
    • оформление командировок;
    • оформление доверенностей;
    • оформление визитных карточек;
    • обработки персональных данных аудиторами при проведении аудиторских проверок;
    • обработки персональных данных контрагентами компании при исполнении соответствующих договорных обязательств;
    • подготовка, заключение, исполнение и прекращение договоров с контрагентами;
    • поиск кандидатов на замещение вакантных должностей;
    • обработка данных, поступивших через сайт компании в сети Интернет;
    • выполнение заявок по ремонту оборудования, поступивших через сайт компании в сети Интернет;
    • выполнение обратной связи с Субъектами, оставившими заявки Генеральному директору и Комплайнс-контролеру на сайте компании в сети Интернет;
    • обеспечение пропускного и внутриобъектного режимов на объектах Компании;
    • иные законные цели.

Обработка персональных данных

  • Обработка персональных данных осуществляется в следующих случаях:
    • обработка персональных данных осуществляется с согласия Субъекта;
    • обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
    • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
    • обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта;
    • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
    • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом либо по его просьбе.
  • Субъектами, персональные данные которых обрабатывает Компания, являются:
    • физические лица, состоящие с Компанией в трудовых отношениях и члены их семей (супруги и близкие родственники);
    • физические лица, уволившиеся из Компании;
    • физические лица, являющиеся кандидатами на вакантные должности;
    • физические лица, состоящие с Компанией в гражданско-правовых отношениях, или находящиеся на этапе преддоговорных отношений или выполненных обязательств подобного характера;
    • физические лица, посетившие офис Компании;
    • физические лица, оставившие свои персональные данные через обратную связь на сайте Компании в сети Интернет;
    • иные лица, давшие согласие Компании на обработку своих персональных данных, либо сделавших свои персональные данные общедоступными, в случаях, предусмотренных законодательством Российской Федерации.
  • Обработка персональных данных ведется:
    • с использованием средств автоматизации;
    • без использования средств автоматизации.
  • Компания может поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено законодательством Российской Федерации, на основании договора, заключаемого с этим лицом, обязательным условием которого является соблюдение этим лицом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Получение персональных данных

  • Все персональные данные Компания получает от Субъекта. Компания вправе получать персональные данные Субъекта от третьих лиц только при наличии письменного согласия Субъекта.
  • Компания сообщает Субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа Субъекта дать согласие на их получение.
  • Документы, содержащие персональные данные, создаются путем:
    • копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
    • внесения сведений в учетные формы;
    • получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Хранение персональных данных

  • Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
  • Персональные данные Субъектов, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.
  • Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации, хранятся в локальной компьютерной сети Компании.
  • Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
  • Хранение персональных данных в форме, позволяющей определить Субъекта, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Передача персональных данных

  • Компания передает персональные данные третьим лицам в следующих случаях:
    • субъект выразил свое письменное согласие на такие действия;
    • передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
  • Перечень третьих лиц, которым передаются персональные данные:
    • пенсионный фонд Российской Федерации для учета (на законных основаниях);
    • налоговые органы Российской Федерации (на законных основаниях);
    • фонд социального страхования Российской Федерации (на законных основаниях);
    • территориальный фонд обязательного медицинского страхования (на законных основаниях);
    • страховые медицинские организации по добровольному медицинскому страхованию (на основании договора);
    • банки для начисления заработной платы (на основании договора);
    • органы МВД России в случаях, установленных законодательством.

Уничтожение персональных данных

  • Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
  • Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Защита персональных данных

  • В соответствии с требованиями нормативных документов Компанией создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.
  • Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
  • Подсистема организационной защиты включает в себя организацию структуры управления системой защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
  • Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
  • Основными мерами защиты персональных данных, используемыми Компанией, являются:
    • назначение лица, ответственного за организацию обработки персональных данных;
    • издание настоящей Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
    • оценка вреда, который может быть причинен Субъектам в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, включая применение:
      • средств антивирусной защиты;
      • средств криптографической защиты информации для защиты персональных данных при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию новых информационных систем персональных данных;
    • учет машинных носителей персональных данных;
    • обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
    • обеспечение возможности восстановления с резервных носителей модифицированных или уничтоженных персональных данных;
    • управление и контроль доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
    • регистрация и учёт событий в информационных системах, обрабатывающих персональные данные;
    • осуществление периодического контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
    • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, а также локальным актам Компании;
    • ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации по обработке и защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных, а также обучение безопасной работе со средствами вычислительной техники;
    • организация режима обеспечения физической безопасности помещений, носителей информации и оборудования;
    • обеспечение сохранности носителей персональных данных;
    • обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
    • ограничение и контроль состава лиц, имеющих доступ к персональным данным;
    • назначение лиц, ответственных за обеспечение безопасности персональных данных в информационных системах.

Основные права Субъекта персональных данных и обязанности Компании

  • Субъект имеет право на доступ к его персональным данным и следующим сведениям:
    • подтверждение факта обработки персональных данных Компанией;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Компанией способы обработки персональных данных;
    • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления Субъектом прав, предусмотренных Федеральным законом 27.07.2006 № 152-ФЗ «О персональных данных»;
    • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
    • обращение к Компании и направление к ней запросов;
    • обжалование действий или бездействия Компании.
  • Компания обязана:
    • при сборе персональных данных предоставить информацию об обработке персональных данных;
    • в случаях если персональные данные были получены не от Субъекта, уведомить Субъекта;
    • при отказе в предоставлении персональных данных Субъекту разъясняются последствия такого отказа;
    • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • давать ответы на запросы и обращения Субъектов, их представителей и уполномоченного органа по защите прав субъектов персональных данных.