Политика в сфере персональных данных

Область применения

Настоящая «Политика обработки и защиты персональных данных» (далее – Политика) определяет основные цели обработки в ООО «СТЭП ЛОДЖИК» (далее – Компания) персональных данных, категории субъектов персональных данных (далее – Субъектов), условия и способы обработки персональных данных, реализуемые меры по обеспечению безопасности персональных данных, права Субъектов и является обязательной для исполнения всеми работниками Компании.
Настоящая Политика составлена в соответствии с частью 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также иными нормативно-правовыми актами Российской Федерации в области обработки и защиты персональных данных и действует в отношении всех персональных данных, которые Компания обрабатывает. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональных данных на основании оглашений, договоров, поручений на обработку.

Нормативные ссылки

В настоящей политике использованы ссылки на следующие нормативные документы:

  • Трудовой кодекс Российской Федерации
  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»

Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Описание Политики

Общие положения

Обеспечение безопасности персональных данных является одной из приоритетных задач Компании.

Компания обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Цели обработки персональных данных

Целями обработки персональных данных являются:
  • исполнение требований Трудового кодекса Российской Федерации;
  • выполнение обязательств по трудовому договору;
  • осуществление бухгалтерского учета и подготовки отчетности, начислений и отчислений заработной платы и иных выплат;
  • оформление зарплатных карт;
  • оформление полисов добровольного медицинского страхования;
  • осуществление воинского учета;
  • содействие работнику в обучении и карьерном росте;
  • оформление командировок;
  • оформление доверенностей;
  • оформление визитных карточек;
  • обработки персональных данных аудиторами при проведении аудиторских проверок;
  • обработки персональных данных контрагентами компании при исполнении соответствующих договорных обязательств;
  • подготовка, заключение, исполнение и прекращение договоров с контрагентами;
  • поиск кандидатов на замещение вакантных должностей;
  • обработка данных, поступивших через сайт компании в сети Интернет;
  • выполнение заявок по ремонту оборудования, поступивших через сайт компании в сети Интернет;
  • выполнение обратной связи с Субъектами, оставившими заявки Генеральному директору и Комплайнс-контролеру на сайте компании в сети Интернет;
  • обеспечение пропускного и внутриобъектного режимов на объектах Компании;
  • иные законные цели.

Обработка персональных данных

Обработка персональных данных осуществляется в следующих случаях:
  • обработка персональных данных осуществляется с согласия Субъекта;
  • обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом либо по его просьбе.
Субъектами, персональные данные которых обрабатывает Компания, являются:
  • физические лица, состоящие с Компанией в трудовых отношениях и члены их семей (супруги и близкие родственники);
  • физические лица, уволившиеся из Компании;
  • физические лица, являющиеся кандидатами на вакантные должности;
  • физические лица, состоящие с Компанией в гражданско-правовых отношениях, или находящиеся на этапе преддоговорных отношений или выполненных обязательств подобного характера;
  • физические лица, посетившие офис Компании;
  • физические лица, оставившие свои персональные данные через обратную связь на сайте Компании в сети Интернет;
  • иные лица, давшие согласие Компании на обработку своих персональных данных, либо сделавших свои персональные данные общедоступными, в случаях, предусмотренных законодательством Российской Федерации.
Обработка персональных данных ведется:
  • с использованием средств автоматизации;
  • без использования средств автоматизации.
Компания может поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено законодательством Российской Федерации, на основании договора, заключаемого с этим лицом, обязательным условием которого является соблюдение этим лицом требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Получение персональных данных

Все персональные данные Компания получает от Субъекта. Компания вправе получать персональные данные Субъекта от третьих лиц только при наличии письменного согласия Субъекта.

Компания сообщает Субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа Субъекта дать согласие на их получение.

Документы, содержащие персональные данные, создаются путем:
  • копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
  • внесения сведений в учетные формы;
  • получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Хранение персональных данных

Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

Персональные данные Субъектов, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.

Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации, хранятся в локальной компьютерной сети Компании.

Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).

Хранение персональных данных в форме, позволяющей определить Субъекта, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Передача персональных данных

Компания передает персональные данные третьим лицам в следующих случаях:
  • субъект выразил свое письменное согласие на такие действия;
  • передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
Перечень третьих лиц, которым передаются персональные данные:
  • пенсионный фонд Российской Федерации для учета (на законных основаниях);
  • налоговые органы Российской Федерации (на законных основаниях);
  • фонд социального страхования Российской Федерации (на законных основаниях);
  • территориальный фонд обязательного медицинского страхования (на законных основаниях);
  • страховые медицинские организации по добровольному медицинскому страхованию (на основании договора);
  • банки для начисления заработной платы (на основании договора);
  • органы МВД России в случаях, установленных законодательством.

Уничтожение персональных данных

Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Защита персональных данных

В соответствии с требованиями нормативных документов Компанией создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.

Подсистема организационной защиты включает в себя организацию структуры управления системой защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

Основными мерами защиты персональных данных, используемыми Компанией, являются:
  1. назначение лица, ответственного за организацию обработки персональных данных;
  2. издание настоящей Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  3. оценка вреда, который может быть причинен Субъектам в случае нарушения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
  4. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  5. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, включая применение:
    • средств антивирусной защиты;
    • средств криптографической защиты информации для защиты персональных данных при их передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию новых информационных систем персональных данных;
    • учет машинных носителей персональных данных;
    • обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
    • обеспечение возможности восстановления с резервных носителей модифицированных или уничтоженных персональных данных;
    • управление и контроль доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
    • регистрация и учёт событий в информационных системах, обрабатывающих персональные данные;
    • осуществление периодического контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
    • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону 27.07.2006 №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, а также локальным актам Компании;
    • ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации по обработке и защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных, а также обучение безопасной работе со средствами вычислительной техники;
    • организация режима обеспечения физической безопасности помещений, носителей информации и оборудования;
    • обеспечение сохранности носителей персональных данных;
    • обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
    • ограничение и контроль состава лиц, имеющих доступ к персональным данным;
    • назначение лиц, ответственных за обеспечение безопасности персональных данных в информационных системах.

Основные права Субъекта персональных данных и обязанности Компании

Субъект имеет право на доступ к его персональным данным и следующим сведениям:
  • подтверждение факта обработки персональных данных Компанией;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Компанией способы обработки персональных данных;
  • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом прав, предусмотренных Федеральным законом 27.07.2006 №152-ФЗ «О персональных данных»;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
  • обращение к Компании и направление к ней запросов;
  • обжалование действий или бездействия Компании.
Компания обязана:
  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • в случаях если персональные данные были получены не от Субъекта, уведомить Субъекта;
  • при отказе в предоставлении персональных данных Субъекту разъясняются последствия такого отказа;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения Субъектов, их представителей и уполномоченного органа по защите прав субъектов персональных данных.