Политика в отношении организации обработки и обеспечения безопасности персональных данных

Основные понятия, используемые в Политике

· Источники получения персональных данных - источниками персональных данных являются субъекты персональных данных.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) ООО «Дирекция Единого Заказчика 1» (далее – Оператор), ИНН 7448115279, расположенного по адресу: г. Челябинск, ул. Калинина д. 11А, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «Дирекция Единого Заказчика 1» вопросы обработки персональных данных работников ООО «Дирекция Единого Заказчика 1» и других субъектов персональных данных.

1.5. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ООО «Дирекция Единого Заказчика 1».

2. Цели обработки персональных данных<

Персональные данные обрабатываются Оператором в следующих целях:

1) осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности: выполнение требований законодательства в сфере труда и налогообложения; ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

2) выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами ООО «Дирекция Единого Заказчика 1»;

3) осуществления прав и законных интересов ООО «Дирекция Единого Заказчика 1» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «Дирекция Единого Заказчика 1», или третьих лиц либо достижения общественно значимых целей;

4) улучшение качества оказания услуг, информирования клиентов, в том числе рекламного характера;

5) заключение договорных отношений с физическими лицами на оказание услуг и (или) выполнение работ, работа с жалобами, заявлениями граждан обратившихся в ООО "ДЕЗ 1", иных законных целях.

3.Правовое основание обработки персональных данных

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

1. Конституцией Российской Федерации;

2. Ст. 85-90 Трудового кодекса Российской Федерации;

3. Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;

4. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

5. Постановлением от 1 ноября 2012 г. № 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

6. Приказом ФСТЭК России № 55;

7. Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

8. Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

9. Приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

10. Приказом ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников»;

11. Ст. 6 ФЗ от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан РФ;

12. Иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти;

13. Уставом Оператора;

14. Договорами, заключаемыми между Оператором и Субъектом персональных данных.

4. Перечень действий с персональными данным

1. При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: Сбор, запись,систематизация, накопление, хранение, уточнение (обновление, изменение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Состав обрабатываемых персональных данных

5.1. Работники , состоящие в договорных отношениях с ООО "ДЕЗ 1", члены семьи работника, родственники, кандидаты (граждане, направившие резюме при устройстве на работу), физические лица, получающие услуги от ООО "ДЕЗ 1", а также физические лица, состоящие в гражданско-правовых и иных договорных отношениях с ООО "ДЕЗ 1", физические лица (заказчики, клиенты, контрагенты ООО "ДЕЗ 1"), законные представители физических и юридических лиц, граждане обратившиеся в ООО "ДЕЗ 1" с жалобами, заявлениями, обращениями.

5.2. Перечень персональных данных, обрабатываемых Оператором: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; а также: Паспортные данные, ИНН, номер контактного телефона, электронная почта, реквизиты лицевого счета, данные о поведении пользователя на сайте, cookie, IP-адрес.

5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Дирекция Единого Заказчика 1» не осуществляется.

6. Обработка персональных данных

6.1. Обработка персональных данных в ООО «Дирекция Единого Заказчика 1» осуществляется следующими способами:

· смешанная обработка персональных данных.

6.2. ООО «ДЕЗ 1» при обработке персональных данных использует приложение «Битрикс24», которое является системой управления и автоматизации отношений с клиентами, субъектами персональных данных.

6.3. ООО «ДЕЗ 1» использует программу «Битрикс24» при работе с персональными данными субъектов. Все соединения с «Битрикс24» производятся через шифрованный обмен данными 256bit (с использованием сертификата SSL), что обеспечивает безопасность корпоративной информации и защиту паролей. В соответствии с требованиями Закона № 242-ФЗ персональные данные «Битрикс24», созданных в зоне .ru, размещены в датацентрах на территории России. Хостинг осуществляется компанией CorpSoft24. Датацентры расположены в Москве. В датацентрах установлены системы бесперебойного электроснабжения, технической безопасности, круглосуточного наблюдения и другие комплексы оборудования, которые необходимы для надежной, непрерывной работы «Битрикс24».

6.4. Допуск лиц к обработке персональных данных в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.

6.5. Носителями персональных данных являются: электронные носители – магнитные и оптические (CD и DVD), накопители, съемные жесткие диски и флэш-накопители, применяемые для создания резервных копий информации или переноса информации; бумажные носители информации о персональных данных.

7. Обеспечение защиты персональных данных при их обработке Оператором

7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.

К таким мерам относятся:

7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем использования антивирусного средства защиты информации (Kaspersky Endpoint Security для бизнеса), присвоение персональных паролей для каждого рабочего места (конкретного работника), наличие средств восстановления системы защиты персональных данных. Установлены сейфы для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установлена пожарная сигнализация, круглосуточный охранный пост.

8. Право субъекта персональных данных на доступ к его персональным данным

8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.7. В случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе сторонней организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Оператору принадлежащих ему функций и полномочий иному лицу, Оператор вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию о субъекте персональных данных таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также, предоставлять таким лицам соответствующие документы, содержащие такую информацию, с согласия субъекта персональных данных.

9. Конфиденциальность персональных данных Клиентов

9.1. Сведения о персональных данных субъектов, являются конфиденциальными.

9.2. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицом без согласия субъектов либо наличия иного законного основания.

9.3. Лица, имеющие доступ к персональным данным субъектов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

9.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов распространяются на все носители информации, как на бумажные, так и на автоматизированные.

9.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

10. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных

10.1. Должностные лица Оператора, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

10.3. Персональные данные субъектов персональных данных хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях или специально отведенных местах.

10.4. В процессе хранения персональных данных субъектов должны обеспечиваться:

10.5. Ответственным за организацию и осуществление хранения персональных данных субъектов является начальник ОИПУ Смирнов Дмитрий Игоревич, в соответствии с приказом директора ООО «Дирекция Единого Заказчика 1».

10.6. Условия прекращения обработки ПД ООО «ДЕЗ 1»: прекращение деятельности ООО "ДЕЗ 1", Ликвидация (реорганизация) ООО "ДЕЗ 1", истечение срока хранения предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ "О персональных данных".

11. Заключительные положения

11.1. Настоящая Политика вступает в силу с момента ее утверждения директором ООО «Дирекция Единого Заказчика 1».

11.2. Настоящее Политика подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов Оператора в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения директором Оператора и размещения на сайте Оператора

11.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.

11.4. Действующая редакция Политики хранится по адресу: г. Челябинск, ул. Калинина, д. 11А, электронная версия Политики - на сайте Оператора.