Personal data protection policy

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

«ПРОСТЫЕ ТЕХНОЛОГИИ И РЕШЕНИЯ»

(ООО «ПРОТЕХ»)

УТВЕРЖДАЮ

Генеральный директор

ООО «ПроТех»

М.В. Попов

«01» июня 2023 г.

Политика обработки персональных данных

ООО «ПроТех»

Версия: 01

2023

1 НАЗНАЧЕНИЕ

Настоящая Политика разработана в целях в целях обеспечения необходимого и достаточного уровня информационной безопасности персональных данных и процессов, связанных с их обработкой, а также для обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2 ОБЛАСТЬ ПРИМЕНЕНИЯ

Требования настоящей Политики распространяются на все структурные подразделения, сотрудников ООО «ПроТех», сотрудников подрядных организаций и лиц, взаимодействующих с ООО «ПроТех» на основании соответствующих договоров.

3 НОРМАТИВНЫЕ ССЫЛКИ

[1] Трудовой кодекс Российской Федерации.
[2] Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
[3] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
[4] Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[5] Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
[6] Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
[7] Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
[8] Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

4 ТЕРМИНЫ И СОКРАЩЕНИЯ

4.1 Термины и определения
В настоящей Политики используются следующие термины и их определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека (в том числе изображение человека – фотография и видеозапись), на основании которых можно установить его личность и которые используются ООО «ПроТех» (далее Общество) для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи.
Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Конфиденциальность персональных данных – обязательное для соблюдения назначенного должностного лица, получившего доступ к персональным данным сотрудников, требование не допускать их распространения без согласия сотрудника или иного законного основания.
Локальный нормативный документ – это внутренний (действующий в пределах Общества) контролируемый документ установленной формы, принятый (утвержденный) уполномоченным органом управления или должностным лицом в соответствии с делегированными полномочиями, с соблюдением установленных в Обществе процедур, в котором в целях многократного применения устанавливаются правила и требования к деятельности Общества, в том числе к сотрудникам, процессам производства и/или управления, продукции, системам, технологиям, для исполнения его требований сотрудникам Общества и другими лицами, на которых он распространяет свое действие в силу обязательности его применения.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационной системой.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Обработка персональных данных без использования средств автоматизации – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Персональные данные субъекта – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Право доступа к информации – это совокупность правил доступа к информации, установленных правовыми документами или собственником/владельцем информации.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определенное или определяемое с помощью персональных данных.
Технические средства информационной системы – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а так же иные неправомерные действия при их обработке в информационно системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

4.2 Используемые сокращения
В настоящей Политике используются следующие сокращения:
ИБ – информационная безопасность.
ЛНД – локальная нормативная документация.
Общество – ООО «ПроТех».
ПДн – персональные данные.
РФ – Российская Федерация.

5 ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика определяет:
• цели, принципы, условия и способы обработки ПДн;
• перечень субъектов, ПДн которых обрабатываются в Обществе;
• перечень обрабатываемых ПДн в Обществе;
• обязанности Общества;
• права субъектов ПДн;
• меры, направленные на обеспечение безопасности ПДн;
• порядок контроля за принимаемыми мерами по обеспечению безопасности ПДн.

В целях реализации положений настоящей Политики в Обществе разрабатываются соответствующие внутренние нормативные документы и иные документы, в том числе:
• Положение об обработке и обеспечении безопасности ПДн в Обществе;
• Перечень должностей, допущенных к обработке ПДн;
• Иные ЛНД и документы, регламентирующие в Обществе вопросы обработки ПДн.

6 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка ПДн в Обществе осуществляется в следующих целях:
• обеспечение соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, ЛНД Общества в области ПДн;
• выполнение обязательств по трудовому договору и иным договорам;
• содействие в трудоустройстве субъектам ПДн;
• обучение и продвижение по работе субъектов ПДн;
• осуществление бухгалтерского учета и подготовки отчетности, начислений и отчислений заработной платы и иных выплат;
• ведение кадровой работы;
• оформление визитных карточек;
• оформление зарплатных карт;
• оформление полисов добровольного медицинского страхования;
• обработка ПДн аудиторами при проведении аудиторских проверок;
• обработка ПДн контрагентами Общества при исполнении соответствующих договорных обязательств;
• оформление командировочных документов, бронирование и приобретение гостиничных мест и транспортных билетов в интересах субъекта ПДн;
• оформление заявок на оказание услуг перевозки на легковых автомобилях;
• передача заявлений на оформление услуг корпоративной мобильной связи;
• лицензирование и сертифицирование направлений деятельности Общества;
• оформление доверенностей;
• обеспечение безопасности субъектов ПДн (сотрудников Общества) на территории Общества;
• контроль количества и качества выполняемой работы;
• формирование внутренних справочных материалов, содержащих ПДн, и определения общедоступных ПДн;
• подготовка документов для прохождения обучения, аттестации, переквалификации, а также регистрация на них.

7 ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В Обществе соблюдаются следующие принципы обработки ПДн:
• обработка ПДн осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей;
• содержание и объем ПДн не противоречат заявленным целям обработки и не являются избыточными по отношению к ним;
• при обработке ПДн в Обществе обеспечиваются точность, достаточность, актуальность ПДн по отношению к целям обработки за счет применения необходимых мер по удалению или уточнению неполных, или неточных ПДн;
• объединение баз данных, содержащих ПДн, цели обработки которых не совместимы между собой, недопустимо;
• хранение ПДн осуществляется в форме, позволяющей идентифицировать субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
• по достижении целей обработки или в случае утраты необходимости их достижения ПДн подлежат уничтожению, если иное не предусмотрено федеральным законом.

В соответствии с указанными принципами:
• Обществом не осуществляется трансграничная передача ПДн;
• Обществом не принимаются решения, основанные исключительно на автоматизированной обработке ПДн субъекта.

В Обществе соблюдаются следующие условия обработки ПДн:
• обработка ПДн в Обществе осуществляется только с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством;
• Общество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
• Общество несет ответственность перед субъектом ПДн за обработку ПДн, в том числе выполняемую третьим лицом на основании договора;
• сотрудники Общества, имеющие доступ к ПДн, не раскрывают ПДн третьим лицам и не распространяют их без согласия субъекта ПДн, если иное не предусмотрено законодательством.

В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, адрес электронной почты, иные ПДн, сообщаемые субъектом ПДн.

8 ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ В ОБЩЕСТВЕ

В Обществе обрабатываются ПДн следующих категорий субъектов ПДн:
• физические лица, состоящие в трудовых и иных гражданских (договорных) отношениях: сотрудники, кандидаты на замещение вакантной должности, стажеры, практиканты от учебных заведений;
• другие субъекты ПДн (для обеспечения реализации целей обработки, указанных в разделе 6 настоящей Политики): самозанятые, индивидуальные предприниматели, физические лица - посетители офисов.

9 ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Перечень ПДн, обрабатываемых в Обществе, определяется в соответствии с законодательством РФ и ЛНД Общества с учетом целей обработки ПДн, указанных в разделе 6
настоящей Политики.
Общество осуществляет обработку биометрических ПДн, к которым относятся сведения, характеризующие физиологические и биологические особенности человека. Обязательным условием отнесения ПДн к разряду биометрических ПДн является их использование с целью установления личности человека. Данные сведения предусматривают обработку при наличии согласия субъекта ПДн за исключением случаев, указанных в ч.2 ст. 11 Федерального закона №152-ФЗ «О персональных данных» (к числу биометрических ПДн, не требующих согласия субъекта ПДн на обработку, среди прочего могут быть отнесены записи внутренних систем охранного видеонаблюдения).
Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

10 СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение ПДн.
Обработка ПДн в Обществе осуществляется следующими способами:
• неавтоматизированная обработка ПДн;
• автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка ПДн.

11 ОБЯЗАННОСТИ ОБЩЕСТВА

В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество обязано:
• предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить в письменной форме мотивированный отказ;
• по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;
• уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;
• в случае достижения цели обработки ПДн незамедлительно прекращать обработку ПДн и уничтожать соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн;
• уведомить субъекта ПДн об уничтожении его ПДн;
• осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн с момента такого обращения или получения указанного запроса на период проверки.

12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты ПДн имеют право на:
• получение полной информации об их ПДн, обрабатываемых в Обществе;
• доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзыв согласия на обработку ПДн;
• принятие предусмотренных законом мер по защите своих прав;
• повторное обращение или запрос на предоставление информации об обрабатываемых ПДн в случае, если они не были предоставлены в полном объеме относительно первоначального запроса;
• обжалование действия или бездействия Общества, осуществляемого с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» ли иным образом нарушает его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
• осуществление иных прав, предусмотренных законодательством РФ.

13 МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В Обществе реализуются следующие необходимые и достаточные для обеспечения выполнения Обществом обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», меры:
• назначение лица, ответственного за организацию обработки ПДн и ответственного за обеспечение безопасности ПДн в Обществе;
• применение правовых, организационных и технических мер для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
• разработка ЛНД, определяющих политику и вопросы обработки и защиты ПДн в Обществе, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства, соотносит указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• получение согласия субъектов ПДн на обработку и распространение их ПДн, за исключением случаев, предусмотренных законодательством РФ;
• ознакомление сотрудников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и ЛНД Общества в области ПДн, в том числе требованиями к защите ПДн, и(или) проводит обучение указанных сотрудников;
• публикация или обеспечение иным образом неограниченного доступа к настоящей Политике;
• сообщение в установленном порядке субъектам ПДн или их представителям информации о наличии ПДн, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством РФ;
• обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах;
• обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
• установление запрета на передачу ПДн по открытым каналам связи без применения мер по обеспечению безопасности ПДн (за исключением общедоступных и (или) обезличенных ПДн);
• хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
• устранение нарушения законодательства, допущенных при обработке ПДн, в установленном порядке;
• прекращение обработки и уничтожение ПДн в случаях, предусмотренных законодательством РФ в области ПДн;
• иные действия, предусмотренные законодательством РФ в области ПДн.

14 КОНТРОЛЬ ЗА ПРИНИМАЕМЫМИ МЕРАМИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Организация и осуществление внутреннего контроля за соблюдением подразделениями Общества законодательства РФ и ЛНД Общества в области ПДн, в том числе требований к защите ПДн, обеспечиваются Ответственным за организацию обработки ПДн в Обществе.
Внутренний контроль соответствия условий обработки ПДн Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, ЛНД Общества осуществляется Ответственным за обеспечение безопасности ПДн в Обществе.
Ответственность за соблюдение требований законодательства РФ и ЛНД Общества в области ПДн, а также за обеспечение конфиденциальности и безопасности ПДн в подразделениях Общества возлагается на их руководителей.

15 ХРАНЕНИЕ, ВНЕСЕНИЕ ИЗМЕНЕНИЙ И РАССЫЛКА

Ознакомление сотрудников Общества с документацией осуществляется при заключении трудового договора, а также путем рассылки по внутренней электронной почте (рассылка осуществляется при внесении изменений в документ).
Хранение оригинала бумажной версии документа осуществляется у сотрудника ответственного за обеспечение безопасности ПДн в Обществе и с обеспечением требований защиты от неправильного использования или потери целостности. Ответственным за организацию обработки ПДн обеспечивается доступность и пригодность документа для применения, где и когда они необходимы.
Внесение изменений в документ осуществляет ответственный за пересмотр и актуализацию документа с привлечением сотрудников Общества. Пересмотр документа осуществляется раз в год или при необходимости.
Организация работ по архивированию устаревшей документации Общества производится сотрудником ответственным за обеспечение безопасности ПДн в Обществе. Срок хранения архивных документов – 2 года. По истечении срока хранения архивных документов они уничтожаются путем нанесения им неустранимого физического повреждения, исключающего возможность использования, а также восстановления информации (документ может быть измельчен, подвергнут термической обработке до степени, исключающей возможность прочтения информации и др.) с помощью специальных устройств для уничтожения документов (шредеров, высокотемпературных печей и др.). Для электронных документов используются штатные средства операционных систем для удаления информации.

На главную