Политика обработки персональных данных

в обществе с ограниченной ответственностью «НОВАЯ ЭРА»

Глава 1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — «ПД») является основополагающим документом, определяющим основы деятельности Общества как оператора персональных данных при обработке и защите персональных данных.

1.2. В настоящей Политике обработки ПД используются термины и определения в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), а также следующие определения.

1.3. Во исполнение требований законодательства Российской Федерации в области персональных данных Обществом могут приниматься нормативные и иные акты по вопросам обработки персональных данных, определяющие цели обработки персональных данных, для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений.

1.4. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и положений, предусмотренных законодательством Российской Федерации в области персональных данных и настоящей Политикой обработки ПД.

Глава 2. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Общество обрабатывает персональные данные в целях осуществления и выполнения:

2.2.1. Функций и обязанностей, возложенных на Общество в соответствии с действующим Уставом.

2.2.2. Функций и обязанностей, возложенных на Общество как на работодателя трудовым законодательством, законодательством о налогах и сборах, пенсионным и другим законодательством, в том числе нормативными и иными актами Общества, устанавливающими гарантии и льготы работникам и членам их семей.

2.2.3. Функций и обязанностей, связанных с финансово-хозяйственной и иной внутренней деятельностью Общества, в том числе с исполнением обязательств по гражданско-правовым договорам, представлением интересов Общества в сторонних органах и организациях, проведением статистического учета, исследовательских работ, организации документационного обеспечения, внутренних коммуникаций.

2.2.4. Функций и обязанностей, связанных с информационной деятельностью Общества, в том числе по вопросам функционирования официального сайта в информационно-телекоммуникационной сети «Интернет», доступа к ним посетителей (пользователей), приема и рассмотрения обращений посетителей (пользователей), поступивших через них, размещения информации, в том числе персональных данных работников Общества и иных лиц, в случаях, предусмотренных законодательством Российской Федерации.

2.3. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки персональных данных, предусмотренным в пункте 2.2 настоящей главы. Обрабатываемые персональные данные не должны быть избыточными по отношению к целям их обработки.

2.4. Общество вправе обрабатывать персональные данные только при наличии разрешения субъекта персональных данных.

Глава 3. Правовые основания и условия обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов Российской Федерации, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также согласие субъекта персональных данных на обработку его персональных данных в случаях, предусмотренных законодательством Российской Федерации в области персональных данных.

3.2. Обработка персональных данных осуществляется в соответствии с условиями обработки персональных данных, предусмотренными статьей 6 Федерального закона «О персональных данных».

Глава 4. Основные права и обязанности оператора персональных данных

4.1. Оператор как оператор персональных данных имеет право:

4.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Российской Федерации, нормативными и иными актами, принимаемыми Обществом, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами.

4.1.2. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с таким лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

4.1.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».

4.1.4. Осуществлять иные права, предоставленные Федеральным законом «О персональных данных».

4.2. Общество обязано:

4.2.1. Организовывать и осуществлять обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных».

4.2.2. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона «О персональных данных».

4.2.3. Сообщать по запросу уполномоченного органа по защите прав субъектов персональных данных необходимую информацию.

4.2.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», не допускать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, за исключением случаев, указанных в пунктах 2–4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

4.2.5. Выполнять иные обязанности, предусмотренные Федеральным законом «О персональных данных».

Глава 5. Способы, сроки обработки и хранения персональных данных

5.1. Обработка персональных данных осуществляется следующими способами:

5.1.1. С использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях.

5.1.2. Без использования средств автоматизации.

5.2. При обработке персональных данных на официальном сайте Общества, в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, могут использоваться сервисы веб-аналитики. Основанием для обработки персональных данных с использованием сервисов веб-аналитики является согласие на обработку персональных данных, предоставляемое субъектом персональных данных непосредственно на официальном сайте Общества, в информационно-телекоммуникационной сети «Интернет».

5.3. Сроки обработки и хранения персональных данных для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством Российской Федерации, и (или) с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и (или) с согласия субъекта персональных данных на обработку его персональных данных. При этом обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством Российской Федерации.

5.4. Общество не допускает объединение ресурсов персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Глава 6. Организация обработки персональных данных. Порядок и условия обработки персональных данных

6.1. В целях организации обработки персональных данных в Обществе назначено ответственное лицо, информация о котором содержится в реестре операторов, который ведет уполномоченный орган по защите прав субъектов персональных данных.

6.2. Обработку персональных данных осуществляют работники Общества, в рабочие обязанности которых входит обработка персональных данных.

6.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

6.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное предусмотрено федеральным законом.

6.5. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

6.6. Передача персональных данных органам государственной власти допускается в отсутствие согласия субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных законодательством Российской Федерации.

6.7. Трансграничная передача персональных данных Обществом не осуществляется.

Глава 7. Уточнение, блокирование, прекращение обработки и уничтожение персональных данных

7.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование персональных данных, относящихся к такому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

7.2. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу либо по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к такому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения указанного запроса на период проверки. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты такого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества.

7.3. Прекращение обработки и уничтожение персональных данных осуществляются в случаях и сроки, предусмотренные Федеральным законом «О персональных данных».

Глава 8. Обеспечение безопасности персональных данных

8.1. Обеспечение безопасности персональных данных осуществляется Обществом в соответствии с законодательством Российской Федерации, включая требования уполномоченного органа по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также в соответствии с локальными нормативными актами (приказами) Общества.

8.2. При обработке персональных данных Общество вправе принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных (несанкционированных) действий в отношении персональных данных.

8.3. Обеспечение безопасности персональных данных при их обработке достигается применением в том числе следующих мер:

  1. Назначение ответственного за организацию обработки персональных данных в Обществе.
  2. Определение угроз безопасности персональных данных при их обработке.
  3. Издание нормативных и иных актов Общества по вопросам обработки персональных данных.
  4. Определение перечня обрабатываемых персональных данных в Обществе.
  5. Ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой обработки ПД, нормативными и иными актами Общества по вопросам обработки персональных данных, и (или) обучение указанных работников.
  6. Обеспечение учета и хранения материальных носителей персональных данных в условиях, обеспечивающих сохранность и предотвращение несанкционированного доступа к ним.
  7. Реализация разрешительной системы доступа пользователей ресурсов персональных данных к таким ресурсам, программно-аппаратным средствам обработки и защиты информации.
  8. Применение средств разграничения и контроля доступа к персональным данным, обрабатываемым и хранящимся в Обществе.
  9. Реализация парольной защиты при осуществлении доступа пользователей к средствам вычислительной техники, используемым в Обществе.
  10. Реализация многофакторной аутентификации при логическом доступе пользователей ресурсов персональных данных к информационным системам персональных данных Общества.
  11. Применение средств восстановления системы защиты персональных данных.
  12. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  13. Применение средств межсетевого экранирования.
  14. Использование антивирусного программного обеспечения.
  15. Применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации, в том числе средств гарантированного уничтожения (стирания) информации, содержащей персональные данные, или приведения носителей персональных данных в состояние, в котором чтение и (или) восстановление содержащихся в них персональных данных невозможно.
  16. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, направленных на предотвращение несанкционированного доступа к персональным данным.
  17. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в Обществе.
  18. Осуществление внутреннего контроля за соответствием принятых мер по защите персональных данных требованиям законодательства Российской Федерации по вопросам обработки персональных данных.
  19. Использование запирающих устройств на входе в помещение, в котором осуществляется обработка персональных данных, а также на шкафах, в которых осуществляется хранение персональных данных.
  20. Организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные.
  21. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
  22. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации.
  23. Обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях.

Глава 9. Заключительные положения

9.1. Настоящая Политика обработки ПД обязательна для ознакомления и соблюдения всеми работниками Общества. Работники Общества, имеющие доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.

9.2. Настоящая Политика обработки ПД является общедоступной и подлежит размещению на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет».

9.3. Для сайта Общества, с использованием которого осуществляется сбор персональных данных, в целях ознакомления субъектов персональных данных с более детальной информацией об обработке персональных данных Общество вправе разрабатывать дополнительные документы по вопросам обработки персональных данных, сбор которых осуществляется через сайт Общества, и размещать их на соответствующих страницах сайта Общества. При этом обозначенные документы не могут противоречить требованиям законодательства Российской Федерации и положениям настоящей Политики обработки ПД.