политика обработки персональных данных

Политика обработки персональных данных

ПОЛИТИКА

ООО «Сыктывкархлеб» в отношении обработки персональных данных

1. Общие положения

1.1. Политика обработки персональных данных в ООО «Сыктывкархлеб» (далее – Политика) разработана в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года, а также иными нормативно-правовыми актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации (далее – законодательство о персональных данных).

1.2. Положения Политики являются основой для организации работы по обработке ПД в Обществе, в том числе для разработки внутренних нормативных документов, регламентирующих процесс обработки ПД в Обществе.

1.3. Положения Политики являются обязательными для исполнения всеми работниками Общества.

1.4. Политика размещается в общедоступном ресурсе – 1С: Документооборот для общего использования работниками Общества.

1.5. В Политике используются основные понятия, определенные статьей 3 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 года.

1.6. Общество осуществляет обработку ПД на основе общих принципов:

- законности заранее определенных конкретных целей и способов обработки ПД. Любая деятельность в отношении ПД осуществляется в соответствии с требованиями действующего законодательства Российской Федерации, руководящими документами, а также локальными нормативными актами Общества;

- обеспечение надлежащей защиты ПД;

- соответствие целей обработки ПД целям, заранее определенным и заявленным при сборе ПД;

- соответствие объема, характера и способов обработки ПД целям обработки ПД;

- достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;

- хранения ПД в форме, позволяющей определить Субъекта ПД, не дольше, чем этого требуют цели их обработки;

- обеспечение конфиденциальности и безопасности обрабатываемых ПД.

1.7. В рамках обработки ПД для субъекта ПД и Общества определены следующие права.

1.7.1. Субъект ПД имеет право:

- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о ПД;

- требовать уточнения своих ПД, их блокирования или уничтожения, в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом ПД согласия на обработку ПД;

- принимать предусмотренные законом меры по защите своих прав;

- отзывать свое согласие на обработку ПД.

1.7.2. Общество имеет право:

- обрабатывать ПД Субъекта ПД в соответствии с заявленной целью;

- требовать от Субъекта ПД предоставления достоверных ПД, необходимых для исполнения договора, оказания услуги (выполнения работы), идентификации Субъекта ПД, а также в иных случаях, предусмотренных законодательством о ПД;

- обрабатывать общедоступные ПД физических лиц;

- осуществлять обработку ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных

2.1. Общество осуществляет обработку персональных данных в целях:

- осуществления Обществом деятельности в соответствии с Уставом и выданными Обществу лицензиями;

- заключения с субъектом ПД любых договоров и их дальнейшего исполнения;

- установления личности посетителей Общества при осуществлении пропуска на территорию Общества;

- ведение кадровой работы и организации учета работников Общества;

- формирования отчетности и предоставление ее в государственные органы;

- привлечения и отбора кандидатов на работу в Обществе;

- осуществление Обществом административно-хозяйственной и управленческой деятельности;

- проведения Обществом акций, опросов, исследований;

- заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД;

а также для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

3. Классификация персональных данных и субъектов персональных данных

3.1. К ПД относится любая информация, относящаяся к прямо и косвенно определенному или определяемому физическому лицу (Субъекту ПД), обрабатываемая Обществом для достижения заранее определенных целей.

3.2. Общество не осуществляет обработку специальных категорий ПД, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

3.3. Общество вправе осуществлять обработку специальной категории ПД, касающейся состояния здоровья Субъекта ПД в соответствии с требованиями законодательства (данные о состоянии здоровья в рамках трудовых отношений).

Общество вправе осуществлять обработку биометрических ПД с целью идентификации работников Общества и установления личности при осуществлении пропуска на территорию Общества.

3.4. Общество осуществляет обработку ПД следующих категорий Субъектов ПД:

- лица, состоящих или состоявших в трудовых отношениях с Обществом и их близких родственников;

- лица, являющиеся соискателями на замещение вакантных должностей в Обществе;

- лица, получающие доход от Общества, но не состоящие с ним в трудовых отношениях;

- лица, входящие в органы управления Общества;

- лица, представляющие интересы хозяйствующего субъекта (представители юридического лица, индивидуального предпринимателя);

- иные лица, выразившие согласие на обработку Обществом их ПД или физические лица, обработка ПД которых необходима Обществу для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.

4. Порядок и условия обработки персональных данных

4.1. Получение ПД осуществляется только от субъекта ПД. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

4.2. Обработка ПД осуществляется:

– с согласия субъекта ПД на обработку его персональных данных, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных»;

– в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

– в случаях, обработки ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные ПД);

- обработка ПД, необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.

4.3. Общество осуществляет передачу ПД государственным и иным уполномоченным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

4.4. Общество может осуществлять передачу ПД для обработки третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:

- обработка третьим лицом ПД, предоставленных Обществу субъектом может осуществляться только с согласия субъекта ПД, если получение такого согласия необходимо в соответствии с требованиями Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных»;

- обработка ПД третьим лицом может осуществляться только на основании договора, в котором должны быть определены перечень действия (операций) с ПД, которые будут совершаться третьим

лицом, осуществляющим обработку ПД; цели обработки ПД; обязанность третьего лица соблюдать конфиденциальность ПД и обеспечить их безопасность при обработке, а также требования к защите обрабатываемых ПД.

4.5. Общество осуществляет обработку ПД с использованием средств автоматизации и без использования средств автоматизации. При этом Общество выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и принятыми в соответствии с ним нормативными правовыми актами.

4.6. Доступ к обрабатываемым ПД предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципа персональной ответственности.

4.7. Общество осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПД с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПД.

4.8. Обработка ПД прекращается при достижении целей такой обработки, а также по истечение срока, предусмотренного законом, договором. При отзыве субъектом ПД согласия на обработку его ПД обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

4.8. Обработка ПД осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации.

4.9. Сроки хранения ПД определяются с учетом:

- установленных целей обработки персональных данных;

- сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;

- сроков, определенных Приказом Минкультуры РФ от 25 августа 2010 года № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

4.10. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и с использованием средств автоматизации.

4.11. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

4.12. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах, файлообменниках.

4.13. В зависимости от типа носителя информации (бумажный или электронный) выделяют два способа уничтожения персональных данных: физическое уничтожение носителя, уничтожения информации с носителя.

Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных носителей используется 2 вида уничтожения - уничтожение через шредирование и уничтожение через термическую обработку (сжигание).

Уничтожение ПД с электронных носителей производится путем стирания информации, форматирования носителя или основывается на многократной перезаписи в секторах магнитного диска.

5. Защита персональных данных

5.1. Безопасность ПД, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований законодательства Российской Федерации в области защиты ПД.

5.2. Обществом для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

- назначено лицо, ответственное за организацию обработки ПД;

- изданы локальные акты по вопросам обработки и обеспечения безопасности ПД: Положение об обработке ПД; настоящая Политика; другие локальные акты по вопросам обработки и обеспечения безопасности ПД; применены правовые, организационные и технические меры по обеспечению

безопасности ПД; осуществляется внутренний контроль соответствия обработки ПД требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Общества;

- работники Общества, непосредственно осуществляющие обработку, ознакомлены с положениями Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Общества по вопросам обработки ПД;

- организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- реализовано обеспечение сохранности носителей персональных данных;

- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- установлены правила доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечена регистрация и учет всех действий, совершаемых с ПД в информационной системе ПД;

- установлены индивидуальные пароли доступа сотрудников в информационную систему ПД;

- реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Заключительные положения

6.1. Иные права и обязанности Общества в связи с обработкой персональных данных определяются законодательством Российской Федерации в области ПД.

6.2. Работники Общества, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут материальную, дисциплинарную, административную, гражданско- правовую или уголовную ответственность в порядке, установленном законодательством