Политика в сфере персональных данных

Область применения

В настоящей Политике изложены цели обработки персональных данных в ООО «СТЭП ЛОДЖИК» (далее – Компания), принципы, условия и способы обработки и передачи персональных данных, реализуемые меры по обеспечению безопасности персональных данных, перечни персональных данных, обрабатываемых в Компании, а также обрабатываемых субъектов персональных данных, права субъектов персональных данных
(далее – Субъектов), права и обязанности Компании и Субъектов.
Политика действует в отношении всех персональных данных, которые Компания получает, обрабатывает и хранит.
Политика является обязательной для исполнения всеми сотрудниками Компании.
Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

Нормативные ссылки

Настоящая Политика разработана в соответствии с требованиями следующих нормативных правовых актов:

  1. Трудовой кодекс Российской Федерации
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  3. Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  4. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  5. Приказ ФСБ России от 10 июля 2014 г. N 378 №Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Описание Политики

Цели обработки персональных данных:

  1. исполнение требований Трудового кодекса РФ;
  2. выполнение обязательств по трудовому договору;
  3. осуществление бухгалтерского учета и подготовки отчетности, начислений и отчислений заработной платы и иных выплат;
  4. осуществление воинского учета;
  5. содействие работнику в обучении и карьерном росте;
  6. организация командировок;
  7. обеспечение возможности пользования работниками сервисами корпоративной связи;
  8. обеспечение здоровья работников и охрана труда;
  9. участие Компании в тендерах, конкурсах, аукционах, предквалификационных отборах, запросах котировок;
  10.  подготовка, заключение, исполнение и прекращение договоров с контрагентами;
  11.  оценка и выбор поставщиков товаров и услуг;
  12.  поиск кандидатов на замещение вакантных должностей;
  13.  выполнение обратной связи с Субъектами, оставившими заявки на сайте компании в сети Интернет;
  14.  обеспечение пропускного и внутриобъектного режимов на объектах Компании;
  15.  иные законные цели.

Принципы обработки персональных данных
Компания уважает неприкосновенность частной жизни и интересы каждого Субъекта и при обработке персональных данных придерживается следующих общих принципов:

  1. Законность и добросовестность
    Добросовестно обрабатываем персональные данные на законных основаниях в соответствии с действующими правовыми нормами.
  1. Ограничение целей
    Собираем персональные данные в указанных и законных целях, а их дальнейшую обработку осуществляем в порядке, не противоречащем этим целям.
  1. Достаточность и точность
    Персональные данные должны быть достаточными, точными и релевантными и ограничиваться только теми данными, которые необходимы для достижения целей, в которых осуществляется их обработка.
  1. Ограниченный срок хранения
    Храним персональные данные в форме, позволяющей установить личность Субъектов данных, не дольше того срока, необходимого для достижения целей, в которых осуществляется их обработка, если иной срок хранения не установлен законодательством РФ, договором.
  1. Целостность и конфиденциальность
    При обработке персональных данных обеспечиваем их защиту, в том числе от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения.
  1. Мониторинг и улучшение
    Компания регулярно анализирует и оптимизирует текущую систему управления персональными данными, в том числе проводит обучение сотрудников, а также внутренние аудиты для повышения эффективности и соответствия требованиям законодательства РФ.
    Перечень субъектов, персональные данные которых обрабатываются Компанией

В Компании обрабатываются данные следующих субъектов:

  • работники структурных подразделений Компании и ее филиалов;
  • физические лица, состоящие с Компанией в трудовых отношениях и члены их семей (супруги и близкие родственники);
  • физические лица, уволившиеся из Компании;
  • физические лица, являющиеся кандидатами на вакантные должности;
  • физические лица, состоящие с Компанией в гражданско-правовых отношениях, или находящиеся на этапе преддоговорных отношений или выполненных обязательств подобного характера;
  • физические лица, оставившие свои персональные данные через обратную связь на сайте Компании в сети Интернет;
  • иные лица, давшие согласие компании на обработку своих персональных данных, либо сделавших свои персональные данные общедоступными при условии, что их обработка осуществляется в соответствии с целями, для которых они были предоставлены, и в случаях, предусмотренных законодательством РФ.

Перечень персональных данных, обрабатываемых в компании

Перечень персональных данных, обрабатываемых в Компании, определяется в соответствии с законодательством Российской Федерации и регламентом Компании УИ_ПЛ_01 Положение об обработке и защите персональных данных с учетом целей обработки персональных данных.

Права Субъектов персональных данных

Субъекты имеют право на доступ к их персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Компанией;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Компанией способы обработки персональных данных;
  • наименование и местонахождение Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • обращение к Компании и направление к ней запросов;
  • обжалование действий или бездействия Компании.

Обязанности Компании

Компания обязана:

  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • уведомить Субъекта, если персональные данные были получены не от самого Субъекта, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • при отказе Субъекта в предоставлении персональных данных разъяснить ему последствия такого отказа;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения Субъектов, их представителей и уполномоченного органа по защите прав субъектов персональных данных;
  • оценивать степень вреда, который может быть причинен Субъектам персональных данных в случае нарушения требований законодательства РФ о персональных данных;
  • сообщать об утечке персональных данных в Роскомнадзор и проводить расследование инцидента в соответствии с требованиями действующего законодательства РФ о персональных данных.  

Обработка персональных данных

Обработка персональных данных осуществляется в следующих случаях:

  • с согласия Субъекта;
  • для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
  • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
  • для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта;
  • для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
  • когда доступ к персональным данным предоставлен неограниченному кругу лиц самим Субъектом, либо по его запросу.

Обработка персональных данных ведется с использованием или без использования средств автоматизации.

Компания может поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено законодательством РФ, на основании договора, заключаемого с этим лицом, обязательным условием которого является соблюдение этим лицом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка специальных категорий персональных данных

Компания обрабатывает специальные категории персональных данных только в случаях, предусмотренных действующим законодательством в области охраны здоровья и безопасности труда.

Обработка биометрических персональных данных   

Обработка биометрических данных в компании не осуществляется.

Получение персональных данных

Компания получает персональные данные непосредственно от Субъекта, а также от третьих лиц и из общедоступных источников с соблюдением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
При получении персональных данных непосредственно от Субъекта Компания сообщает Субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа Субъекта дать согласие на их получение.
Документы, содержащие персональные данные, создаются путем:

  • внесения сведений в учетные формы;
  • получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Обезличивание персональных данных

Компания не осуществляет обезличивание персональных данных.

Хранение персональных данных

Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
Персональные данные Субъектов, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.
Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации, хранятся в локальной компьютерной сети Компании.
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
Хранение персональных данных в форме, позволяющей определить Субъекта, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Передача персональных данных

Передача персональных данных третьим лицам допускается при выполнении одного или нескольких условий:

  • при наличии согласия Субъекта персональных данных;
  • в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта;
  • в иных случаях, предусмотренных законодательством РФ в области персональных данных.

При передаче персональных данных контрагенту в договор с контрагентом включаются обязательные требования по защите получаемых персональных данных.
Перечень третьих лиц, которым передаются Персональные данные:

  • Социальный фонд России (СФР);
  • Налоговые органы РФ;
  • Федеральная служба государственной статистики;
  • Военные комиссариаты РФ;
  • Кредитные организации;
  • Операторы связи;
  • Туристические агентства и гостиницы;
  • Центры обучения и сертификации;
  • Транспортные компании и службы курьерской доставки;
  • Действующие и потенциальные клиенты, партнеры, подрядчики, поставщики;
  • Вендоры и дистрибьюторы;
  • Компании, входящие в Национальную компьютерную корпорацию.

Трансграничная передача данных

Передача персональных данных за пределы РФ не осуществляется.

Подача запросов Субъектами персональных данных и их представителями

Субъекты персональных данных и их представители могут направить запросы на предоставление информации, уточнение, удаление или неправомерное использование персональных данных следующим образом:

  • Направив заявление на бумажном носителе по адресу Компании: 108811, г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, двлд. 6, стр. 1;
  • Направив запрос на электронную почту info@step.ru, подписав заявление электронной подписью;
  • Обратившись лично в офисы компании по адресу:
    • г. Москва, вн.тер.г. муниципальный округ Солнцево, ш. Киевское, км 22-й, двлд. 6, стр. 1, БЦ «Comcity»;
    • г. Казань, ул. Ершова, 29б, офис 516, БЦ «Татария».

Реагирование на запросы субъектов персональных данных и их представителей

Порядок реагирования Компании на запросы определен в УИ_П_04 Порядок обработки запросов по персональным данным.

Уничтожение персональных данных

Обрабатываемые в компании персональные данные подлежат уничтожению в следующих случаях:

  • Субъект персональных данных потребовал уничтожить его персональные данные;
  • установленный срок хранения и обработки персональных данных истек;
  • цели обработки персональных данных достигнуты или утрачена необходимость в достижении этих целей, если иное не предусмотрено законодательством РФ;
  • персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявлена неправомерная обработка персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  • Субъект персональных данных отзывает согласие на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных.

Уничтожение персональных данных осуществляется в соответствии с УИ_ПЛ_01 Положение об обработке и защите персональных данных.

Принимаемые меры для обеспечения выполнения обязанностей при обработке персональных данных

Меры, необходимые для обеспечения выполнения обязанностей при обработке персональных данных, предусмотренных законодательством РФ, включают:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • принятие локальных нормативных актов в области обработки персональных данных;
  • ознакомление работников Компании, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, а также ознакомление с локальными нормативными актами Компании в отношении обработки персональных данных и (или) обучение данных сотрудников;
  • получение согласий Субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством РФ;
  • обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях, и которые содержат разные категории персональных данных;
  • проведение оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения установленных требований по обработке и обеспечению безопасности персональных данных, в соответствии с УИ_ПЛ_01 Положение об обработке и защите персональных данных;
  • осуществление периодического внутреннего контроля соблюдения компанией и его работниками требований законодательства РФ, документов компании по защите персональных данных и контроля состояния защищенности информационных систем персональных данных в соответствии с ВА_СТО_01 Внутренние аудиты.
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
  • контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством РФ.

Защита персональных данных

В соответствии с требованиями нормативных документов Компанией создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защит:

  1. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
  2. Подсистема организационной защиты включает в себя организацию структуры управления системой защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
  3. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

Меры защиты персональных данных, реализуемые Компанией, приведены в УИ_Н_12 Перечень мер защиты персональных данных.

Назад к политикам компании
Сервисный центр
Рус Eng
О компании
НКК
История
Менеджмент
Миссия
Политики компании
Лицензии
Ключевые заказчики
Партнеры
Компетенции и услуги
Инженерные системы
Сетевые решения
Вычислительные системы
Мультимедиа-решения и унифицированные коммуникации
Контакт-центры
Информационная безопасность
Сервис и ИТ-аутсорсинг
Программные разработки
Решения на базе 1С
Отрасли
Проекты
Медиацентр
Новости
Экспертные мнения
События
Карьера
Работа в СТЭП ЛОДЖИК
Вакансии
Контакты
Сервисный центр
Рус Eng