г. Екатеринбург ул. Татищева, 100, оф. 9 info@atomtehelektro.ru
8 (343) 380-29-77
8 (343) 380-26-76

Утверждена приказом

ЗАО «АТОМТЕХЭЛЕКТРО»

от «17» декабря 2015

№ 100-009/32/1А

 

 

ПОЛИТИКА

в отношении обработки и защиты персональных данных

П(Б)-025/1/2015 [1]

 1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1.            Политика ЗАО «АТОМТЕХЭЛЕКТРО» в отношении обработки и защиты персональных данных (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые в ЗАО «АТОМТЕХЭЛЕКТРО» (далее - Оператор) меры по обеспечению требования к защите персональных.

1.2.            Политика разработана с учетом требований Конституции Российской Федерации, а также иных нормативных правовых актов Российской Федерации в области обработки и защиты персональных данных. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных».

1.3.            Политика является общедоступным документом Оператора, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных, и предусматривает возможность ознакомления с ней неограниченного круга лиц путем опубликования на официальном сайте ЗАО «АТОМТЕХЭЛЕКТРО» в информационно-телекоммуникационной сети «Интернет».

1.4.            Положения Политики служат основой для разработки локальных нормативных актов Оператора, регламентирующих в вопросы обработки и защиты персональных данных работников ЗАО «АТОМТЕХЭЛЕКТРО» и других субъектов персональных данных.

]2 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.             Обработка персональных данных Оператором осуществляется с учетом обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

2.2.             Оператор осуществляет обработку персональных данных в целях осуществления деятельности предприятия согласно законодательству Российской Федерации и Уставу ЗАО «АТОМТЕХЭЛЕКТРО».

2.3.             Правовым основаниям обработки и защиты персональных данных являются: Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Гражданский кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

Федеральный закон от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный Фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»; Устав ЗАО «АТОМТЕХЭЛЕКТРО»,

а также иные нормативные правовые акты Российской Федерации в области обработки и защиты персональных данных.

2.4.             Содержание и объем обрабатываемых персональных определяются исходя из следующих основных целей их обработки:

- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ЗАО «АТОМТЕХЭЛЕКТРО»;

- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ЗАО «АТОМТЕХЭЛЕКТРО», в том числе по предоставлению персональных данных в территориальные органы Инспекции ФНС России, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

- регулирования трудовых отношений с работниками ЗАО «АТОМТЕХЭЛЕКТРО»: привлечение и отбор Кандидатов на работу в ЗАО «АТОМТЕХЭЛЕКТРО», ведения кадровой работы и организация учета работников (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

- регулирования гражданско-правовых отношений с физическими лицами, не являющихся работниками ЗАО «АТОМТЕХЭЛЕКТРО»;

- предоставления работникам ЗАО «АТОМТЕХЭЛЕКТРО» и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

- подготовки, заключения, исполнения и прекращения договоров с контрагентами;

- обеспечения пропускного режима в офисном помещении и обособленных подразделениях ЗАО «АТОМТЕХЭЛЕКТРО»;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности ЗАО «АТОМТЕХЭЛЕКТРО», его обособленных подразделений;

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- осуществления прав и законных интересов ЗАО «АТОМТЕХЭЛЕКТРО» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ЗАО «АТОМТЕХЭЛЕКТРО», или третьих лиц, либо достижения общественно значимых целей;

- в иных законных целях.

3 УСЛОВИЯ, СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.            Обработка персональных данных может осуществляться на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных. Такая обработка осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

3.2.            В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных: субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.3.            Обработка персональных данных Оператором осуществляется следующими способами:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям (телекоммуникационным каналам связи) или без таковой;

смешанная обработка персональных данных

3.4.            Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.

4 КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.            К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Оператором для достижения заранее определенных целей.

4.2.             Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

4.3.             Оператор вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья субъекта персональных данных

4.4.            Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

физические лица, являющиеся кандидатами на работу (соискателями на вакантные должности);

физические лица, являющиеся работниками Оператора;

физические лица, осуществляющие выполнение работ или оказание услуг и заключившие с Оператором договор гражданско-правового характера;

физические лица, являющиеся учредителями/акционерами Оператора;

физические лица, ранее состоявшие в трудовых отношениях с Оператором;

физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством Российской Федерации о персональных данных.

4.5.            При обработке персональных данных субъектов персональных данных обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

4.6.            Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

5 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.            Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- сведения о применяемых Оператором способах обработки персональных данных;

- наименование и место нахождения Оператора;

- сведения о лицах, которые имеют доступ к персональным данным;

- перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

5.2.            Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

5.3.            Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

5.4.            Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

5.5.            Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.6.            Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

6 ПРАВА ОПЕРАТОРА

6.1.            Оператор имеет право:

обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;

требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора (трудового, гражданско-правового), идентификации субъекта персональных данных, а также иных случаях, предусмотренных законодательством о персональных данных;

ограничить доступ субъекта персональных данных к его персональным данным в случае, если это нарушает права и законные интересы третьих лиц, а также в случаях, предусмотренных законодательством Российской Федерации;

обрабатывать общедоступные персональные данные физических лиц;

поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

7 МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.            Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

  • назначение сотрудников, ответственных за организацию обработки и обеспечение защиты (безопасности) персональных данных;
  • установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
  • проверка наличия в договорах и включение, при необходимости, в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки и защиты персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, охрана;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
  • обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
  • резервное копирование информации для возможности восстановления;
  • установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, и по информационно-телекоммуникационной сетям «Интернет» без применения установленных Оператором мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
  • ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, в том числе обучение указанных сотрудников;
  • осуществление внутреннего контроля и аудита за соблюдением установленного порядка, проверка эффективности принятых мер, оперативное реагирование на инциденты.