Вы здесь

Политика в отношении обработки персональных данных

 

1.Основные положения

      Настоящая политика в отношении обработки персональных данных определяет позицию и намерения Предприятия в области обработки и защиты персональных данных физических лиц, состоящих в договорных (в том числе трудовых) отношениях с предприятием, а также  акционеров, членов совета директоров и ревизионной комиссии предприятия (далее – субъект персональных данных, субъект ПД), обеспечении их целостности и сохранности.

     Политика предназначена для изучения и неукоснительного исполнения сотрудниками предприятия, имеющими доступ к персональным данным субъектов ПД.

 

2. Понятие обработки персональных данных, цели и принципы обработки персональных данных

Одна из приоритетных задач в работе предприятия - соблюдение действующего законодательства Российской Федерации в области обработки персональных данных, в том числе требований Федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному  физическому лицу (субъекту ПД).

   Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Персональные данные субъектов ПД обрабатываются в следующих целях:

- осуществление и выполнение возложенных законодательством Российской Федерации на предприятие функций, полномочий и обязанностей;

- заключение договоров/контрактов и исполнение договорных/контрактных  обязательств предприятием в рамках осуществления хозяйственной деятельности;

- в иных законных целях.

При обработке персональных данных субъектов ПД  предприятие придерживается следующих  принципов:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Предприятие должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- иных принципов, предусмотренных действующим законодательством Российской Федерации.

 

3.Состав персональных данных, способы их обработки и условия допуска к обработке персональных данных

В состав обрабатываемых предприятием персональных данных  могут входить:

- фамилия, имя, отчество;

- дата рождения, возраст;

- паспортные данные;

- адрес регистрации и адрес фактического проживания;

- иные сведения, которые субъект ПД обязан представить предприятию во исполнение требований действующего законодательства Российской Федерации, а также сведения, которые могут предоставлены субъектом ПД с его согласия.

Предприятие  не обрабатывает персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, когда такая обработка допускается в соответствии с нормами действующим законодательством Российской федерации.

Обработка персональных данных  происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных  допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:

- ознакомление сотрудника с нормами законодательства Российской Федерации в области обработки персональных данных;

- ознакомление сотрудника с локальными нормативными актами (положения, инструкции), строго регламентирующими порядок и процедуру работы с персональными данными;

- получение от сотрудника соглашения о соблюдении конфиденциальности в отношении персональных данных  при работе с ними.

Сотрудникам, осуществляющим обработку персональных данных, для исполнения трудовых обязанностей предоставляется минимально необходимый объем персональных данных.

 

4. Хранение персональных данных

            Персональные данные субъектов ПД хранятся в бумажном и электронном виде.

            В бумажном виде персональные данные субъектов ПД хранятся в специально отведенных запирающихся шкафах, обеспечивающих их защиту от несанкционированного доступа  третьих лиц.

В электронном виде персональные данные  субъектов ПД хранятся в информационных системах персональных данных предприятия,  в резервных копиях этих информационных систем, а также на электронных носителях и обеспечены от несанкционированного доступа третьих лиц системой паролей. Пароли меняются не реже 1 (одного) раза в 6 (шесть) календарных месяцев.

   Сроки хранения персональных данных - до достижения целей обработки или до момента утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.

При хранении персональных данных соблюдаются организационные и технические меры, установленные на предприятии, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся, в том числе:

- назначение в подразделении, осуществляющем обработку персональных данных, ответственного за хранение персональных данных;

- учет всех носителей, информационных систем, а так же резервных копий этих систем, содержащих персональные данные;

- ограничение физического доступа к информационным системам, резервным копиям этих систем и носителям персональных данных.

 

5.   Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных на предприятии достигается следующими мерами:

- разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных;

- разработкой и реализацией технических и организационных мер, снижающих вероятность реализаций угроз безопасности персональных данных;

- назначением сотрудника, ответственного за организацию обработки персональных данных и обеспечение контроля за соблюдением требований, установленных на предприятии в отношении обработки персональных данных;

- ограничением круга  сотрудников, имеющих доступ к персональным данным;

- определением списка сотрудников, допущенных к работе с персональными данными и ознакомление таких сотрудников с законодательством Российской Федерации в области обработки персональных данных и локальными нормативными актами, регламентирующими порядок их обработки до момента допуска к работе с персональными данными;

- проведением периодического внутреннего аудита информационных систем и носителей, содержащих персональные данные;

- проведением периодических проверок состояния защищенности информационных систем и носителей, содержащих персональные данные.

         Защита персональных данных субъектов ПД от неправомерного использования и утраты обеспечивается предприятием за его счет в порядке, установленном действующим законодательством РФ.

 

6. Права субъектов ПД в области обращения с персональными данными

         Субъекты ПД имеют право:

 - на полную информацию об их персональных данных и обработке этих данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПД, за исключением случаев, предусмотренных действующим законодательством РФ;

- на определение своих представителей для защиты своих персональных данных;

- на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства РФ. При отказе предприятия исключить или исправить персональные данные субъект ПД   имеет право заявить в письменной форме предприятию о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект ПД имеет право дополнить заявлением, выражающим его собственную точку зрения;

- на требование об извещении предприятием всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на доступ к медицинской документации, отражающей состояние здоровья физических  лиц, состоящих в договорных (в том числе трудовых) отношениях с предприятием с помощью медицинского работника по их выбору ;

- обжалование в суд любых неправомерных действий или бездействия предприятия при обработке и защите персональных данных.

 

7. Пересмотр положений Политики

Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также при изменении законодательства Российской Федерации в области персональных данных.

После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте предприятия.