Политика оператора ПДн

Политика
в отношении обработки персональных данных

 

  1. Общие положения
    1. Назначение настоящей Политики

Политика обработки персональных данных в ООО «Астерит» (далее по тексту – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Астерит» (далее по тексту – Оператор) персональных данных, права субъектов персональных данных, а также реализуемые у Оператора требования к защите персональных данных.

Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.

  1. Область применения

Настоящая Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда). Требования Политики также учитываются и предъявляются в отношении иных лиц, при необходимости их участия в процессе обработки персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

  1. Основные понятия, используемые в настоящей Политике

В целях настоящей Политики используются следующие основные понятия:

  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств вычислительной техники. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
    1. Права и обязанности оператора

Оператор вправе:

  • отстаивать свои интересы в суде;
  • отказывать в предоставлении персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации;
  • обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных действующим законодательством Российской Федерации;
  • поручать обработку персональных данных другим лицам в соответствии с действующим законодательством Российской Федерации.

Оператор обязан:

  • предоставлять субъекту персональных данных или его представителю информацию о его персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации;
  • осуществлять меры по обеспечению безопасности персональных данных при их обработке в соответствии с действующим законодательством Российской Федерации;
  • устранять нарушения действующего законодательства Российской Федерации, допущенные при обработке персональных данных;
  • выполнять требования уполномоченного органа по защите прав субъектов персональных данных и действующего законодательства Российской Федерации.
  • Права и обязанности субъекта

Субъект персональных данных вправе:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • запрашивать информацию о своих персональных данных, обрабатываемых Оператором;
  • отозвать своё согласие на обработку персональных данных;
  • обжаловать действия или бездействие Оператора в отношении обработки его персональных данных.

Субъект персональных данных обязан:

  • предоставлять полные, достоверные персональные данные, необходимые для достижения целей обработки, а также подтверждать их достоверность предоставлением оригиналов документов;
  • при изменении персональных данных, необходимых для достижения целей обработки, предоставить актуальные персональные данные, а также подтвердить их достоверность предоставлением оригиналов документов;
  • соблюдать требования действующего законодательства Российской Федерации.
  1. Порядок и условия обработки персональных данных

Политика обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:

  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования таких средств и осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество; занимаемая должность; дата, месяц, год рождения; мобильный телефон; адрес электронной почты; иные персональные данные, сообщаемые субъектом персональных данных.

Доступ к обрабатываемым персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей подразделений Оператора, в должностные обязанности которых входит обработка персональных данных.

Передача персональных данных третьим лицам допускается:

  • при наличии действующего согласия субъекта персональных данных на обработку персональных данных для выполнения заявленных целей обработки персональных данных;
  • при наличии законных оснований.

Трансграничная передача персональных данных не осуществляется.

Сроки обработки персональных данных определены в согласии субъекта персональных данных, а при наличии законных оснований – соответствующим нормативным правовым актом.

  1. Принципы и цели обработки ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор осуществляет обработку персональных данных работников и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.

Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные обрабатываются Оператором в целях:

  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Федеральную налоговую службу, в Социальный фонд России, а также в иные государственные органы;
  • регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и повышения квалификации, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • предоставления работникам Оператора и членам их семей дополнительных гарантий и компенсаций;
  • отбора кандидатов на вакантные должности;
  • подготовки, заключения, исполнения и прекращения договоров с клиентами/контрагентами;
  • предоставления информационно-консультационных услуг и коммерческих предложений;
  • регистрации на проводимых мероприятиях;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц.

 

  1. Перечень персональных данных, обрабатываемых оператором

Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в разделе 3 Политики. Перечень приведен в Приложении А.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, Оператором не осуществляется.

 

  1. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Актуализация, исправление, удаление и уничтожение персональных данных осуществляется при непосредственном обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо по запросу уполномоченного органа по защите прав субъектов персональных данных.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
  1. Обеспечение безопасности персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, но не ограничивается, следующими способами:

  • назначением ответственного за организацию обработки персональных данных;
  • осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам оператора;
  • оценкой вреда, который может быть причинён субъектам персональных данных в случае нарушения ФЗ № 152;
  • ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных и обучением указанных работников;
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, установленных действующим законодательством Российской Федерации;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в случаях, предусмотренных действующим законодательством Российской Федерации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
  • учётом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
  • применением иных мер в зависимости от актуальных угроз безопасности информации, установленного уровня (класса) защищённости информационных систем персональных данных;
  • обеспечением взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
  1. Политика использования файлов куки (cookie) на сайте оператора

В целях информационного взаимодействия с клиентами и кандидатами на вакантные должности Оператором создан информационный ресурс в сети интернет официальный сайт https://asterit.ru/ (далее - Сайт).

Сайт использует файлы cookie, чтобы улучшить работу, повысить эффективность и удобство. Оставаясь на Сайте, пользователь дает свое согласие на использование файлов cookie, которые не содержат сведений, на основании которых можно идентифицировать пользователя.

Большинство интернет-браузеров изначально настроены на автоматический прием файлов cookie. Если пользователь не согласен на использование данного типа файлов, он должен соответствующим образом установить настройки браузера.

Оператор использует сервис Яндекс метрика компании Яндекс («Сервис»), который позволяет собирать и анализировать статистику посещения сайтов и поведения посетителей. Это помогает Оператору лучше понимать потребности и интересы посетителей и на основании этих сведений совершенствовать Сайт.

Сведения, получаемые с помощью Сервиса, не являются персональными данными и не позволяют идентифицировать конкретных пользователей.

  1. Заключительные положения

Настоящая Политика является общедоступным документом и подлежит размещению на Сайте оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Перечень персональных данных, обрабатываемых в ООО «Астерит»

 

№ п/п

Цель обработки персональных данных

Категория субъекта персональных данных

Перечень ПДн

Категория обрабатываемых персональных данных

Способы и сроки обработки персональных данных
  1.  

Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора; осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти; регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и повышения квалификации, контроль количества и качества выполняемой работы, обеспечение сохранности имущества); предоставление работникам Оператора и членам их семей дополнительных гарантий и компенсаций; формирование справочных материалов для внутреннего информационного обеспечения деятельности Оператора; исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц.

Работники

Фамилия, имя, отчество; бывшая фамилия (в случае ее изменения); пол; дата и место рождения; адрес по прописке и адрес фактического проживания; гражданство; идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; состав семьи; данные свидетельства о регистрации брака, номер расчётного счёта; сведения о доходах; сведения о доходах с предыдущего места работы; номер банковской карты; сведения об образовании, профессиональной переподготовке, повышении квалификации, стажировке (наименование образовательного учреждения; реквизиты документа об образовании, о квалификации или наличии специальных знаний (наименование, серия, номер); год окончания; квалификация согласно документу об образовании; направление или специальность согласно документу об образовании); реквизиты документа, удостоверяющего личность (серия, номер, дата выдачи, кем выдан); сведения о профессии, должности, трудовом стаже; контактный телефон, рабочий номер телефона и адрес электронной почты; сведения документов воинского учёта (категория запаса; воинское звание; состав (профиль); полное кодовое обозначение ВУС; категория годности к военной службе); сведения о социальных льготах, которые предоставляются в соответствии с законодательством Российской Федерации; сведения о близких родственниках (фамилия, имя и отчество; дата рождения; степень родства); сведения о владении иностранными языками; сведения о наличии ученой степени, ученого звания; сведения об аттестации; сведения о пройденном обучении; итоги тестирования; сведения, содержащиеся в трудовом договоре; сведения о государственных наградах, иных наградах и знаках отличия; фотография.

Иные

Ведется смешанная (с применением средств автоматизации / неавтоматизированная) обработка в течение срока действия трудового договора. После увольнения сотрудника данные могут обрабатываться с целями исполнения обязанностей, возложенных законодательством Российской Федерации на Оператора.
  1.  

Отбор кандидатов на вакантные должности;

Кандидаты на трудоустройство

Фамилия, имя, отчество; пол; дата и место рождения; адрес по прописке и адрес фактического проживания; гражданство; идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; семейное положение и состав семьи; сведения об образовании, профессиональной переподготовке, повышении квалификации, стажировке (наименование образовательного учреждения; реквизиты документа об образовании, о квалификации или наличии специальных знаний (наименование, серия, номер); год окончания; квалификация согласно документу об образовании; направление или специальность согласно документу об образовании); реквизиты документа, удостоверяющего личность (серия, номер, дата выдачи, кем выдан); сведения о профессии, должности, трудовом стаже; контактный телефон, адрес электронной почты; сведения о владении иностранными языками; сведения о наличии ученой степени, ученого звания; сведения об аттестации; фотография.

Иные

Ведется смешанная (с применением средств автоматизации / неавтоматизированная) обработка до момента принятия решения о трудоустройстве работника. Далее данные обрабатываются с целью кадрового учета либо уничтожаются.
  1.  

Подготовка, заключение, исполнение и прекращение договоров с клиентами/контрагентами; предоставление информационно-консультационных услуг и коммерческих предложений; регистрация на проводимых мероприятиях

Работники клиентов/контрагентов

Фамилия, имя, отчество, должность, место работы; контактный телефон; адрес электронной почты; дополнительные сведения, которые субъект предоставляет Оператору

Иные

Ведется смешанная (с применением средств автоматизации / неавтоматизированная) обработка в течение срока действия договора с контрагентом и в течение 5 лет после истечения договора. Далее данные уничтожаются.