ИнфоТех-Политика обработки персональных данных

Политика Общества с ограниченной ответственностью "ИнфоТех" в отношении обработки персональных данных

1. Термины и определения

персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

оператор информационной системы персональных данных - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы персональных данных, в том числе по обработке информации, содержащейся в ее базах данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Общие положения

Настоящая политика Общества с ограниченной ответственностью «ИнфоТех» в отношении обработки персональных данных (далее – Политика):

разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных (далее – ПДн), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

определяет политику Общества с ограниченной ответственностью «ИнфоТех» (далее – Общество) в отношении обработки всех ПДн, обрабатываемых Обществом, порядок и условия ее осуществления;

содержит сведения о реализуемых требованиях к защите персональных данных;

предназначена для изучения и неукоснительного исполнения всеми работниками Общества, обрабатывающими ПДн, для ознакомления субъектами ПДн, обрабатываемых Обществом, и рекомендуется к доведению до сведения контрагентов и других заинтересованных сторон.

ПДн, обрабатываемые Обществом, относятся к сведениям конфиденциального характера (за исключением случаев, предусмотренных законодательством) и подлежат защите в соответствии с требованиями конфиденциальности, установленными законодательством и внутренней нормативной документацией Общества.

В целях обеспечения конфиденциальности и безопасности ПДн в Обществе введен в действие комплект организационно-распорядительной документации по вопросам обработки и защиты ПДн, устанавливающей, в частности, процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, и принимаются необходимые организационные и технические меры обеспечения безопасности ПДн.

3. Цели, порядок и условия обработки ПДн

Общество в своей деятельности обеспечивает соблюдение всех принципов обработки ПДн, указанных в ст. 5 Закона 152-ФЗ, и допускает обработку ПДн только в случаях, предусмотренных ч.1 ст. 6 Закона 152-ФЗ.

Цели, правовые основания, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки обработки и хранения ПДн Обществом указаны в Приложении № 1 к настоящей Политике.

При обработке ПДн Общество осуществляет:

сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПДн;

использование баз данных, находящихся только на территории РФ;

передачу ПДн третьим лицам только при условии соблюдения требования Закона 152-ФЗ, в частности, наличие согласия субъекта ПДн, поручения на обработку ПДн, условий договора, предусматривающих обязанность третьего лица соблюдать конфиденциальность и безопасность ПДн.

Примечание: конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых ПДн, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых ПДн, указываются в согласиях на обработку ПДн.

Общество не осуществляет:

трансграничную передачу ПДн;

раскрытие третьим лицам и распространение ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;

принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

Условия прекращения обработки ПДн Обществом продиктованы Законом 152-ФЗ и включают в себя:

достижение целей обработки ПДн (утрата необходимости в их достижении) или сроков обработки и хранения ПДн (действия согласия на обработку ПДн);

отзыв субъектом ПДн согласия на обработку ПДн;

предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

невозможность обеспечения правомерности обработки ПДн;

иные предусмотренные законодательством РФ случаи.

Общество осуществляет уничтожение ПДн при достижении целей их обработки (утрате необходимости в их достижении) или при наступлении иных законных оснований, в частности:

отзыв субъектом ПДн согласия на обработку его ПДн;

если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

если обеспечить правомерность обработки ПДн невозможно.

Уничтожение ПДн Обществом осуществляется способом, исключающим возможность восстановления этих ПДн.

Сроки уничтожения ПДн Обществом соответствуют Закону 152-ФЗ.

По результатам уничтожения ПДн составляется акт. При уничтожении ПДн в ИСПДн, выгрузка из журнала регистрации событий в ИСПДн, отражающая сведения в соответствии с требованиями законодательства, осуществляется оператором ИСПДн.

Акт об уничтожении ПДн и выгрузка из журнала регистрации событий хранятся в течение 3 лет с момента уничтожения ПДн.

4. Основные права и обязанности Общества и субъектов ПДн

Общество как оператор ПДн вправе:

поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

предоставлять ПДн третьим лицам в случаях, предусмотренных законодательством;

осуществлять обработку ПДн без согласия субъекта ПДн в случаях, предусмотренных законодательством;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом 152-ФЗ или другими федеральными законами.

Общество как оператор ПДн обязано:

предоставить субъекту ПДн в доступной форме информацию, касающуюся обработки его ПДн, в случаях, в порядке и в сроки, предусмотренные Законом 152-ФЗ;

уточнить ПДн, прекратить их обработку, блокировать или уничтожить их (или обеспечить выполнение указанных действий) в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, отзыва субъектом ПДн согласия на обработку его ПДн, в случаях, в порядке и в сроки, предусмотренные Законом 152-ФЗ;

принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами;

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Субъекты ПДн имеют право:

требовать от Общества предоставления в доступной форме информации, касающейся обработки его ПДн, в случаях и в порядке, предусмотренных Законом 152-ФЗ;

требовать от Общества уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

отозвать согласие на обработку его ПДн;

обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие Общества при обработке его ПДн;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

реализовывать иные права, предусмотренные действующим законодательством.

Субъекты ПДн обязаны:

передавать достоверные ПДн, необходимые для достижения целей обработки, а также подтверждать их достоверность предъявлением оригиналов документов;

в случае изменения ПДн сообщить Обществу уточненные ПДн и подтвердить изменения оригиналами документов;

при доступе к ПДн иных субъектов ПДн соблюдать требования к обработке ПДн, обеспечению их конфиденциальности и безопасности, установленные Законом 152-ФЗ и внутренними требованиями Общества.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в частности, если такой доступ нарушает права и законные интересы третьих лиц.

Для реализации и защиты своих прав и законных интересов субъект ПДн или его представители имеют право обратиться к Обществу по адресу электронной почты: datapersonal@in4tech.ru.

5. Обеспечение безопасности ПДн

5.1 Меры обеспечения безопасности ПДн

Общество принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

В Обществе для обеспечения безопасности ПДн принимаются следующие меры:

назначение ответственного за организацию обработки ПДн;

изданы документы:

· определяющие политику Общества в отношении обработки ПДн;

· определяющие для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований;

· устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

внутренний контроль и (или) аудит соответствия обработки ПДн Закону 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, иным локальным актам Общества;

оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона 152-ФЗ, в соответствии с требованиями, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом 152-ФЗ;

ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и обучение указанных работников;

определение мест хранения материальных носителей ПДн, а также обеспечение учета и сохранности материальных носителей ПДн;

установление перечня лиц, осуществляющих обработку ПДн на материальных носителях, либо имеющих к ним доступ;

обеспечение раздельного хранения материальных носителей ПДн, обработка которых осуществляется в различных целях;

обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Меры по обеспечению безопасности ИСПДн осуществляются оператором ИСПДн.

5.2 Ответственный за организацию обработки ПДн

Права и обязанности ответственного за организацию обработки ПДн установлены Законом 152-ФЗ и соответствующими локальными актами Общества.

Назначение ответственного за организацию обработки ПДн и освобождение от указанных обязанностей осуществляется руководителем Общества.

Ответственный за организацию обработки ПДн:

осуществляет внутренний контроль за соблюдением Обществом и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн, и (или) организует его;

доводит до сведения работников Общества положения законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, или обеспечивает их доведение;

организовывает контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей и (или) осуществляет его.

6. Заключительные положения

Политика утверждается, вводится в действие и изменяется руководителем Оператора и действует до ее отмены.

Общество вправе вносить изменения в настоящую Политику. Политика подлежит пересмотру, изменению, дополнению в случае появления новых или изменения применимых нормативных правовых актов РФ, локальных актов Общества и порядка осуществления Обществом обработки и обеспечения безопасности ПДн.

К действующей редакции настоящей Политики обеспечен неограниченный доступ путем ее публикации на официальном сайте Общества в сети Интернет по адресу: www.in4tech.ru.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Обществе.

Ответственность за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством РФ, локальными актами Общества и договорами, регламентирующими правоотношения Общества с третьими лицами.