Положение об обработке и защите персональных данных
1. Общие положения
1.1. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников ИП Полянкина В.Л. (далее — ИП) и иных лиц, чьи персональные данные обрабатываются ИП, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц ИП, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2. Важнейшим условием реализации целей деятельности ИП, является соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.3. Персональные данные в информационных системах ИП могут обрабатываться совместно с иной информацией, доступ к которой ограничен в соответствии с законодательством РФ (составляющей коммерческую тайну).
1.4. Обработка и обеспечение безопасности информации, отнесенной к персональным данным осуществляется в соответствии законодательством РФ и действующими внутренними нормативно-правовыми актами ИП и позволяет обеспечить защиту персональных данных, как в информационных системах персональных данных, так и обрабатываемых без использования средств автоматизации.
1.5. ИП обязан осуществлять уведомление уполномоченного органа по защите прав субъектов персональных данных о начале обработки персональных данных. ИП добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
1.6. Данная Политика является общедоступным документом, декларирующим концептуальные основы деятельности ИП при обработке и защите персональных данных.
2. Правовые основания обработки персональных данных
2.1. Политика ИП в отношении обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
— Конституцией Российской Федерации;
— Трудовым кодексом Российской Федерации;
— Гражданским кодексом Российской Федерации;
— Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральным законом от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
3. Понятие и состав персональных данных
3.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
3.2. ИП обрабатывает персональные данные следующих категорий субъектов персональных данных:
— персональные данные соискателей вакантной должности — информация, необходимая в целях принятия решения о трудоустройстве и дальнейшего кадрового планирования.
— персональные данные работников ИП — информация, необходимая ИП в связи с трудовыми отношениями и обрабатываемая в рамках Трудового законодательства.
— персональные данные клиента (потенциального клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом (потенциальным клиентом, партнером, контрагентом) ИП — информация, необходимая ИП для выполнения своих обязательств в рамках договорных отношений с клиентом (либо в целях заключения договора) и для выполнения требований законодательства Российской Федерации.
3.3. ИП не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.4. ИП не выполняет обработку специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
4. Цели обработки персональных данных
4.1. ИП осуществляет сбор и обработку персональных данных в следующих целях:.
— заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;.
— организации кадрового учета ИП, принятия решения о трудоустройстве и дальнейшего кадрового планирования, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, программами добровольного медицинского страхования, покупки билетов и визового обслуживания;.
— исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации;.
— управления физическим доступом на территорию ИП;.
— предоставления пользователям Интернет-ресурсов персонифицированного доступа к сервисам ИП..
5. Принципы и условия обработки персональных данных
5.1. Обработка персональных данных в ИП осуществляется на основании следующих основных принципов:
— законности и справедливости целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ИП;
— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных заявленным целям обработки персональных данных;
— хранении персональных данных, осуществляющемся в форме, позволяющем определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
— уничтожении по достижении целей обработки или в случае утраты необходимости в достижении таких целей.
5.2. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями ИП, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами ИП.
5.3. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), осуществляется ИП с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
5.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено 152-ФЗ.
5.5. ИП вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве субъектом согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.
5.6. Персональные данные субъекта могут быть получены ИП от лица, не являющегося субъектом персональных данных, при условии предоставления ИП подтверждения наличия оснований, указанных в п.п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 152-ФЗ.
5.7. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники ИП в соответствии с их должностными обязанностями.
5.8. ИП вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее — поручение). Третья сторона, осуществляющая обработку персональных данных по поручению ИП, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
5.9. Трансграничная передача персональных данных (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) может осуществляться ИП при соблюдении условий, установленных ст. 12 152-ФЗ.
5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных ИП.
6.2. Субъект персональных данных вправе требовать от ИП уточнения своих персональных данных, их блокирования или уничтожения в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе:
— если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
— когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к ИП. ИП рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
6.5. Субъект персональных данных вправе обжаловать действия или бездействия ИП путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7. Обеспечение безопасности персональных данных
7.1. Обработка и обеспечение безопасности информации, отнесенной к персональным данным в ИП осуществляется в соответствии законодательством РФ, подзаконными нормативными актами и нормативно-методическими документами ФСТЭК и ФСБ РФ.
7.2. ИП при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
— назначением ответственных за организацию обработки персональных данных.
— изданием документов, определяющих политику ИП в отношении обработки персональных данных.
— осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными и локальными актами.
— ознакомлением работников ИП, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами и обучением.
— определением угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке.
— учетом машинных носителей персональных данных.
— выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.
— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных.
7.3. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами ИП к защите конфиденциальной информации.
8. Заключительные положения
8.1. Настоящая Политика является внутренним документом ИП, а также в соответствии со ст. 18.1 ФЗ-152 является общедоступной и подлежит размещению на официальном сайте ИП.
8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ИП.
8.4. Ответственность сотрудников ИП, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ИП.