Политика конфиденциальности ООО «Навита»
1. Общие положения
1.1. Настоящая Политика разработана на основании статей Конституции РФ, Трудового кодекса РФ, Кодекса РФ об административных правонарушениях, Гражданского кодекса РФ, Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», иных нормативно-правовых актов в области защиты и обработки персональных данных.
1.2. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.3. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми , имеющими доступ к персональным данным.
1.4. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений новая редакция Политики вступает в силу в срок, указанный в соответствующем приказе, или на следующий день после ознакомления с новой редакцией Политики.
2. Термины и определения
2.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор – организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором является ООО «Навита» (далее «Общество»)
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.12. Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.
2.13. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
2.14. Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.
2.15. Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое ООО «Навита» ответственным за организацию обработки персональных данных.
2.16. Подразделение-инициатор — подразделение Оператора, принимающее решение об обработке персональных данных и организующее обработку персональных данных в рамках подразделения.
3. Цели политики
3.1. Целями данной Политики является:
3.1.1. Обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3.1.2. Защита персональных данных от несанкционированного доступа, неправомерного их использования или утраты со стороны сотрудников Общества, не допущенных к работе с персональными данными.
3.1.3. Исключение незаконного вмешательства в информационные ресурсы Общества со стороны третьих лиц.
3.2. Политика устанавливает:
- Порядок сбора персональных данных;
- Действия оператора по сбору, систематизации, накоплению, хранению, уточнению, уничтожению персональных данных;
- Порядок передачи персональных данных третьей стороне;
- Перечень должностных лиц, имеющих доступ к персональным данным;
- Состав персональных данных, подлежащих сбору и хранению;
- Цели сбора персональных данных.
4. Общие принципы обработки персональных данных
4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.7. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является.
4.8. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
4.9. Источником информации обо всех персональных данных является непосредственно сам субъект персональных данных на основании собственноручного письменного согласия.
4.10. В случае, если персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом и от него должно быть получено письменное согласие, кроме случаев прямо предусмотренных действующим законодательством.
4.11. Общество не имеет право собирать и обрабатывать персональные данные об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, членстве в общественных объединениях или их профсоюзной деятельности, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
4.12. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований. Заключение о наличии оснований для продолжения обработки персональных данных после отзыва согласия дается Генеральным директором ООО «Навита» ответственному за организацию обработки персональных данных Общества.
5. Защита персональных данных
5.1. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
5.2. Защита персональных данных от неправомерного их использования или утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральными законами.
5.3. Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:
- Ограничение и регламентация состава, функциональные обязанности которых требуют конфиденциальных знаний;
- Строгое избирательное и обоснованное распределение документов и информации;
- Рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;
- Знание требований нормативно-методических документов по защите информации и сохранении тайны;
- Наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- Определение и регламентация состава, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с базами данных;
- Организация порядка уничтожения информации;
- Своевременное выявление нарушения требований разрешительной системы доступа подразделения;
- Воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
5.4. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:
- Порядок приема, учета и контроля посетителей;
- Пропускной режим организации;
- Технические средства охраны;
- Требования к защите информации при интервьюировании и на собеседованиях.
6. Права и обязанности
6.1. Закрепление прав, регламентирующих защиту персональных данных, обеспечивает сохранность полной и точной информации .
6.2. В целях защиты персональных данных:
- Исключение или исправление неверных или неполных персональных данных;
- Персональные данные оценочного характера дополняются заявлением;
- Определять своих представителей для защиты своих персональных данных;
- На сохранение и защиту своей личной и семейной тайны;
- На подтверждение Обществом цели обработки персональных данных;
- На предоставление информации о сроках обработки персональных данных, в том числе сроках их хранения;
Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Общества, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
6.3. Общество обязано:
- В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, оно в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Общество обязано уведомить субъекта персональных данных или его представителя;
- В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных;
- Принимать на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы.
7. Ответственность за разглашение информации, связанной с персональными данными
7.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
7.2. Общество, в соответствии со своими полномочиями владеющее информацией, получающее и использующее ее, несёт ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Руководитель, разрешающий доступ к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4. Каждый член Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных , несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:
7.5.1. За неисполнение или ненадлежащее исполнение по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Общество вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7.5.3. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни , составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
8.Порядок работы с персональными данными в Обществе
8.1. Понятие и состав персональных данных в Обществе
8.1.1. Персональные данные – информация, необходимая Обществу в связи с трудовыми отношениями и касающиеся конкретного лица. Под информацией понимаются сведения об анкетно-биографических фактах и обстоятельствах жизни , позволяющие идентифицировать его личность.
8.2. Обработка персональных данных
8.2.1. Под обработкой персональных данных понимается получение, хранение, комбинирование, внесение уточнений в персональные данные .
8.2.2. Для обработки персональных данных Общество использует компьютерные базы данных (1С различных версий, эл. почту), табличные формы любых редакторов, копии документов на бумажном носителе.
8.2.3. Согласие на обработку персональных данных должно быть получено в письменной форме. Формами согласия в зависимости от цели обработки персональных данных являются:
- Фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- Цель обработки персональных данных;
- Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
- Подпись субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом файлом уникальной электронной подписи.
8.3. Уничтожение персональных данных
8.3.1. Персональные данные уничтожаются, если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, не обоснована или более не правомерна (за исключением случаев, когда законодательством предусмотрено обратное).
8.3.2. Уничтожение персональных данных либо носителей персональных данных осуществляется лицом, ответственным за организацию работы с персональными данными.