Политика конфиденциальности

Политика конфиденциальности

Об обработке и защите персональных данных
Содержание:
I. Основные понятия
II. Общие положения
III. Состав персональных данных
IV. Общие требования при обработке персональных данных
V. Уточнение персональных данных
VI. Порядок получения персональных данных
VII. Хранение персональных данных
VIII. Передача персональных данных
IX. Доступ к персональным данным
X. Уничтожение и обезличивание персональных данных
XI. Права субъекта персональных данных
XII. Защита персональных данных субъекта
XIII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта персональных данных на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

I. ОСНОВНЫЕ ПОНЯТИЯ
1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
1.2. Субъект — субъект персональных данных.
1.3. Клиент — юридическое лицо, с которым Обществом заключен(-ы) договор(-ы), предметом которого(-ых) является оказание Обществом различных видов услуг (бухгалтерское сопровождение, консультации по финансовым вопросам, т.п.), сопровождающихся обработкой персональных данных лиц, связанных с таким юридическим лицом трудовыми отношениями.
1.4. Обработка персональных данных — действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), комбинирование, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.6. Использование персональных данных — действия (операции) с персональными данными, совершаемые Обществом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта либо иным образом затрагивающих права и свободы субъекта.
1.7. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.8. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе Общества или в результате которых уничтожаются материальные носители персональных данных.
1.9. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.10. Целью обработки персональных данных служит обеспечение защиты прав и свобод человека, при обработке его персональных данных. Персональные данные работников обрабатываются в целях организации трудовых взаимоотношений между Обществом и физическими лицами в соответствии с Трудовым Кодексом РФ.

II. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Персональные данные не могут быть использованы в целях причинения имущественного или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав субъекта на основе использования информации об его социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
2.2. Персональные данные относятся к категории конфиденциальной информации.
2.3. Сбор, хранение, использование и распространение информации о частной жизни субъекта без его письменного согласия не допускаются.
2.4. Субъект персональных данных, не являющийся работником Общества, имеет право ознакомиться с документами Общества, устанавливающими порядок обработки персональных данных, а также его права и обязанности в этой области.
2.5. Юридические и физические лица, в соответствии со своими полномочиями владеющие сведениями, относящимися к персональным данным, получающие и использующие их, несут ответственность за нарушение режима защиты, обработки и порядка использования этой информации в соответствии с законодательством РФ.

III. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Состав персональных данных:
· анкетные и биографические данные;
3.2. К персональным данным субъекта относятся также сведения о составе его семьи и месте работы или учебы членов семьи субъекта.

IV. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2. При определении объема и содержания обрабатываемых персональных данных субъекта Общество должно руководствоваться Конституцией Российской Федерации, положениями Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" и иными нормативно-правовыми актами РФ, а при определении объема и содержания обрабатываемых персональных данных работника — также Трудовым Кодексом Российской Федерации.
4.3. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.4. Общество не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Общество вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
4.5. Общество не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных действующим законодательством РФ.
4.6. При принятии решений, затрагивающих интересы субъекта, Общество не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки (при наличии таковой) или электронного получения.
4.7. Общество, субъект и их представители должны совместно вырабатывать меры защиты персональных данных субъекта.
4.8. Общество не вправе требовать от субъекта отказа от своих прав на сохранение и защиту тайны.
4.9. Персональные данные при их обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
4.10. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4.11. Сотрудники Общества, осуществляющие обработку персональных данных, должны быть проинформированы о категориях обрабатываемых ими персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также настоящим Положением.
4.12. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
4.12.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры, журналы или др.) должны содержать сведения о цели обработки персональных данных, наименование и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки персональных данных;
4.12.2. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4.12.3. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
4.13. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
4.13.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию;
4.13.2 при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.14 Правила, предусмотренные п. 4.13. и п. 10.4. настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

V. УТОЧНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В случае выявления недостоверных персональных данных субъекта, обрабатываемых Обществом (при обращении или по запросу субъекта персональных данных или его законного представителя), Общество осуществляет блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
5.2. В случае подтверждения факта недостоверности персональных данных Общество на основании документов, представленных субъектом персональных данных или его законным представителем, обязано в срок, не превышающий трех рабочих дней с даты такого подтверждения, либо уточнить, либо уничтожить неверные персональные данные. Об уточнении или уничтожении недостоверных персональных данных Общество уведомляет субъекта персональных данных или его законного представителя.
5.3. Уточнение персональных данных при осуществлении их обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

VI. ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Получение персональных данных субъекта осуществляется специально уполномоченными сотрудниками Общества, имеющими в соответствии с п. 9.1. настоящего Положения право доступа к персональным данным.
6.2. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие Обществу и/или Клиенту (организация, работником которой субъект является) на их обработку Обществом. Согласия субъектов, не являющихся работниками Общества, на обработку персональных данных передаются Обществу Клиентами.
6.3. Письменные доказательства согласия субъекта на обработку его персональных данных Обществом хранятся в личном деле субъекта персональных данных.
6.4. Письменное согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
6.5. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме.
6.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и/или Клиентом, с одной стороны, и субъектом персональных данных, с другой стороны. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных.

VII. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Хранение персональных данных субъекта осуществляется специально уполномоченными сотрудниками Общества, осуществляющими в соответствии с п. 9.1. настоящего Положения обработку персональных данных.
7.2. Хранение персональных данных субъекта осуществляется в форме, позволяющей определить субъекта персональных данных, на бумажных и электронных носителях с ограниченным доступом.
7.3. Осуществляющие хранение персональных данных сотрудники Общества обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с действующим законодательством РФ.
7.4. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
7.5. Сроки хранения персональных данных работников определяются на основании Перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утвержденного руководителем федеральной архивной службы России 06 октября 2000 года.
7.6. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

VIII. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. При передаче персональных данных субъекта Общество должно соблюдать следующие требования:
8.1.1. Не сообщать персональные данные субъекта без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами РФ.
8.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
8.1.3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности).
8.1.4. Передавать персональные данные субъекта представителям субъекта в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
8.1.5. Субъект или его законный представитель вправе запрашивать копии содержащих персональные данные субъекта документов, хранящихся в Обществе, а также вправе знакомиться с ними при обращении. Общество обязано предоставить указанные данные в течение десяти рабочих дней с даты получения письменного запроса субъекта или его законного представителя, оформленного в произвольной форме.
8.1.6. В случае отказа в предоставлении субъекту или его законному представителю копий документов, содержащих персональные данные субъекта, а также в случае отказа в ознакомлении с ними, Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на Положение ч. 5 ст. 14 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных», в срок, не превышающий семи рабочих дней с даты получения запроса.
8.1.7. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.
8.1.8. Не допускается отвечать на вопросы, связанные с обрабатываемыми Обществом персональными данными, по телефону или факсу.
8.1.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

IX. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
9.1. Внутренний доступ (доступ внутри Общества).
9.1.1. К обработке персональных данных субъекта могут иметь доступ:
9.1.1.1. генеральный директор Общества;
9.1.1.2. специально уполномоченные на основании приказа генерального директора Общества сотрудники Общества. При этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы им для выполнения конкретных функций;
Другие сотрудники Общества имеют доступ к персональным данным субъекта только с письменного согласия самого субъекта.
9.1.1.3. работники Клиента, специально уполномоченные на основании приказа руководителя Клиента. При этом указанные лица для выполнения ими конкретных функций вправе иметь доступ только к тем персональным данным субъекта, доступ к которым им предоставлен локальными документами Клиента.
9.1.1.4. лицо, назначенное приказом генерального директора Общества ответственным за организацию обработки и хранение персональных данных субъекта в Обществе.
9.1.2. Все сотрудники Общества, имеющие доступ к персональным данным субъекта, обязаны подписать соглашение о неразглашении персональных данных. Внешний доступ.
9.2.1. К числу массовых потребителей персональных данных вне Общества можно отнести государственные и негосударственные функциональные структуры:
· налоговые инспекции;
· правоохранительные органы;
· органы статистики;
· страховые агентства;
· военкоматы;
· органы социального страхования;
· пенсионные фонды;
· подразделения муниципальных органов управления.
9.2.2. Указанные в п. 9.2.1. надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
9.2.3. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только в случае письменного согласия субъекта.

X. УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В случае достижения цели обработки персональных данных Общество обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган. Положения настоящего пункта относятся также к персональным данным субъектов Клиента.
10.2. По истечении срока хранения персональные данные подлежат уничтожению лицом, ответственным за организацию обработки и хранение персональных данных субъекта в Обществе в присутствии не менее одного сотрудника Общества, имеющего в соответствии с п. 9.1. настоящего Положения право доступа к персональным данным. Положения настоящего пункта относятся также к персональным данным субъектов Клиента.
10.3. Уничтожение персональных данных осуществляется любыми способами, в результате совершения которых невозможно восстановить содержание персональных данных в информационной системе Общества или в результате которых уничтожаются материальные носители персональных данных, о чем составляется соответствующий акт.
10.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

XI. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. В целях обеспечения защиты персональных данных, хранящихся в Обществе, субъект имеет право на:
· полную информацию о своих персональных данных и информацию по обработке этих данных;
· определение своих представителей для защиты своих персональных данных;
· требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса Российской Федерации, Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона РФ. При отказе Общества исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия;
· требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
· свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
· обжалование в суде любых неправомерных действий или бездействий Общества при обработке и защите персональных данных.

XII. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
12.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы, создающих неблагоприятные события, оказывающие дестабилизирующее воздействие на защищаемую информацию.
12.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
12.3. Защита персональных данных представляет собой регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества.
12.4. «Внутренняя защита».
12.4.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между специально уполномоченными сотрудниками Общества, имеющими в соответствии с п. 9.1. настоящего Положения право доступа к персональным данным (далее по тексту — уполномоченные лица).
12.4.2. Для защиты персональных данных субъекта необходимо соблюдать следующие меры:
· строгое избирательное и обоснованное распределение документов и информации между уполномоченными лицами;
· рациональное размещение рабочих мест уполномоченных лиц;
· знание уполномоченными лицами требований нормативно–методических документов по защите информации и сохранению тайны;
· наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
· соблюдение порядка уничтожения информации;
· своевременное выявление нарушения требований разрешительной системы доступа уполномоченными лицами к защищаемой информации;
· воспитательная и разъяснительная работа с уполномоченными лицами Корпорации по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
12.4.3. Персональные данные субъекта, содержащиеся на электронных носителях, должны быть защищены паролем.
12.5. «Внешняя защита».
12.5.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для постороннего лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
12.5.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Общества: посетители, работники других организаций.
12.5.3. Для защиты персональных данных субъекта соблюдаются следующие меры:
· порядок приема, учета и контроля деятельности посетителей;
· пропускной режим;
· учет и порядок выдачи пропусков;
· технические средства охраны, сигнализация;
· порядок охраны территории, здания, помещений;
· требования к защите информации при интервьюировании и собеседованиях.

XIII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
13.2. Руководитель, разрешающий доступ работнику к конфиденциальному документу, несет персональную ответственность за данное разрешение.
13.3. Каждый работник Общества, получающий для работы конфиденциальный документ, несет личную ответственность за сохранность носителя и конфиденциальность информации.
13.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации, Федеральным законом от 27.06.2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Акции в мае!