ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «МЕГОПОЛИС»

1. Общие положения
1.1. Настоящая Политика ООО «МЕГОПОЛИС» в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «МЕГОПОЛИС» (далее — Оператор).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

2. Термины и принятые сокращения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения — это персональные данные, доступ к которым предоставлен субъектом персональных данных для неограниченного круга лиц путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке. Действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (предоставление, доступ);
  • распространение;
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Защита персональных данных — деятельность, направленная на предотвращение утечки защищаемых персональных данных, а также на предотвращение несанкционированных и непреднамеренных воздействий на такие данные.

3. Порядок и условия обработки и хранения персональных данных

3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных производится с согласия субъектов персональных данных на их обработку, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта на обработку персональных данных.
3.4. Согласие на обработку персональных данных, разрешенных для распространения, может быть предоставлено Оператору:
  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.6. К обработке персональных данных допускаются только сотрудники Оператора, в должностные обязанности которых входит такая обработка.
3.7. Обработка персональных данных осуществляется следующими способами:
  • получение персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его данных;
  • внесение персональных данных в журналы, реестры и информационные системы Оператора;
  • использование иных способов обработки персональных данных.
3.8. Не допускается раскрытие персональных данных третьим лицам и их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.9. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и иные уполномоченные органы государственной власти и организации осуществляется в соответствии с законодательством Российской Федерации.
3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, распространения и иных несанкционированных действий, в том числе:
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает ответственных лиц за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • обеспечивает корректную эксплуатацию информационных систем, в которых осуществляется обработка персональных данных;
  • хранит персональные данные в условиях, исключающих несанкционированный доступ и обеспечивающих их сохранность;
  • организует обучение сотрудников, обрабатывающих персональные данные.
3.11. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если иной срок хранения не установлен федеральным законом, договором или соглашением.
3.12. При сборе персональных данных, в том числе с использованием сети «Интернет», Оператор обеспечивает:
  • запись,
  • систематизацию,
  • накопление,
  • хранение,
  • уточнение (обновление, изменение),
  • извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации,
  • за исключением случаев, прямо предусмотренных Федеральным законом «О персональных данных».
3.13. Цели обработки персональных данных
3.13.1. Обработке подлежат только персональные данные, соответствующие целям их обработки.
3.13.2. Обработка персональных данных осуществляется в следующих целях:
  • соблюдение Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • осуществление деятельности в соответствии с уставом ООО «МЕГОПОЛИС»;
  • ведение кадрового делопроизводства;
  • содействие в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников;
  • контроль за количеством и качеством выполняемой работы;
  • обеспечение сохранности имущества;
  • привлечение и отбор кандидатов на вакантные должности;
  • организация персонифицированного учета работников в системе обязательного пенсионного страхования;
  • заполнение и представление отчетности в органы государственной власти и иные уполномоченные организации;
  • осуществление гражданско-правовых отношений;
  • ведение бухгалтерского учета;
  • организация пропускного режима.
3.13.3. Обработка персональных данных работников осуществляется исключительно для соблюдения требований законодательства Российской Федерации.
3.14. Категории субъектов персональных данныхОператор обрабатывает персональные данные следующих категорий субъектов:
  • физических лиц, состоящих в трудовых отношениях с ООО «МЕГОПОЛИС»;
  • уволенных работников;
  • кандидатов на замещение вакантных должностей;
  • физических лиц, состоящих в гражданско-правовых отношениях с ООО «МЕГОПОЛИС».
3.15. Состав обрабатываемых персональных данныхОператор обрабатывает следующие категории персональных данных:
  • данные, полученные в рамках трудовых отношений;
  • данные, полученные в процессе отбора кандидатов на работу;
  • данные, полученные при заключении и исполнении гражданско-правовых договоров.
3.16. Условия хранения персональных данных
3.16.1. Персональные данные могут быть получены, обрабатываться и передаваться как на бумажных носителях, так и в электронном виде.
3.16.2. Документы на бумажных носителях хранятся в запираемых шкафах либо в помещениях с ограниченным доступом.
3.16.3. Электронные персональные данные, обрабатываемые в различных целях, хранятся в отдельных папках.
3.16.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.16.5. Персональные данные хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении этих целей или при утрате необходимости в их достижении.
3.17. Уничтожение персональных данных
3.17.1. Документы (носители), содержащие персональные данные, уничтожаются путем:
  • сожжения;
  • дробления (измельчения);
  • химического разложения;
  • превращения в бесформенную массу или порошок.
Допускается использование шредеров для уничтожения бумажных носителей.
3.17.2. Электронные носители уничтожаются путем полного стирания или форматирования.
  • 3.17.3. Уничтожение персональных данных подтверждается документально — актом об уничтожении носителей.
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов у Оператора создана система защиты персональных данных (СЗПД), включающая подсистемы правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и развитие СЗПД.
4.3. Подсистема организационной защиты включает в себя:
  • организацию структуры управления СЗПД;
  • разрешительную систему;
  • меры по защите информации при взаимодействии с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты представляет собой комплекс технических, программных и программно-аппаратных средств, обеспечивающих защиту персональных данных.
4.5. Оператор применяет следующие основные меры по защите персональных данных:
4.5.1. Назначение ответственного лица за обработку персональных данных, которое организует обработку, проводит обучение и инструктаж, а также осуществляет внутренний контроль соблюдения требований к защите ПД.
4.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПД) и разработка соответствующих мер и мероприятий по защите.
4.5.3. Разработка и внедрение политики Оператора в отношении обработки персональных данных.
4.5.4. Установление правил доступа к персональным данным, обрабатываемым в ИСПД, с обязательной регистрацией и учетом всех действий, совершаемых с ПД в системе.
4.5.5. Назначение индивидуальных паролей доступа сотрудников к информационным системам в соответствии с их должностными обязанностями.
4.5.6. Использование средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке.
4.5.7. Применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.
4.5.8. Обеспечение условий хранения персональных данных, исключающих несанкционированный доступ и обеспечивающих их сохранность.
4.5.9. Обнаружение и регистрация фактов несанкционированного доступа к персональным данным и принятие соответствующих мер реагирования.
4.5.10. Восстановление персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа.
4.5.11. Обучение сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, требованиям законодательства Российской Федерации, внутренним политикам и локальным нормативным актам по вопросам обработки и защиты персональных данных.
4.5.12. Проведение внутреннего контроля и аудита соблюдения требований законодательства и локальных нормативных документов в сфере защиты персональных данных.
5. Основные права субъекта персональных данных и обязанности Оператора
5.1. Права субъекта персональных данныхСубъект персональных данных имеет право на:
  • получение подтверждения факта обработки его персональных данных Оператором;
  • информацию о правовых основаниях и целях обработки персональных данных;
  • сведения о целях и способах обработки персональных данных, применяемых Оператором;
  • данные о наименовании и местонахождении Оператора, а также лицах (за исключением сотрудников Оператора), имеющих доступ к персональным данным или которым такие данные могут быть раскрыты на основании договора или федерального закона;
  • информацию о сроках обработки персональных данных, включая сроки хранения;
  • порядок осуществления субъектом своих прав в соответствии с законодательством РФ;
  • данные о лице, обрабатывающем персональные данные по поручению Оператора (если применимо);
  • направление запросов и обращений к Оператору;
  • обжалование действий или бездействия Оператора.
5.2. Обязанности ОператораОператор обязан:
  • при сборе персональных данных предоставлять информацию об их обработке;
  • уведомлять субъектов, если персональные данные получены не от них лично;
  • разъяснять последствия отказа в предоставлении персональных данных;
  • публиковать и обеспечивать свободный доступ к политике обработки персональных данных;
  • принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, утраты, изменения, блокировки, распространения и иных противоправных действий;
  • предоставлять ответы на обращения субъектов персональных данных, их представителей и уполномоченного органа.
6. Актуализация, исправление, удаление и уничтожение персональных данных. Ответы на запросы субъектов.
6.1. Предоставление информации субъектуПо запросу субъекта или его представителя Оператор предоставляет:
  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки;
  • иные сведения, предусмотренные ч. 7 ст. 14 Федерального закона «О персональных данных».
При этом информация, относящаяся к другим субъектам, не раскрывается, за исключением случаев, предусмотренных законом.
Запрос должен содержать:
  • данные удостоверяющего личность документа (номер, дата, орган выдачи);
  • сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора и пр.);
  • подпись субъекта или его представителя (при электронном запросе — электронная подпись).
Если в запросе отсутствуют обязательные сведения или субъект не имеет прав доступа к информации, Оператор направляет мотивированный отказ.
Доступ к персональным данным может быть ограничен в случаях, предусмотренных ч. 8 ст. 14 закона, включая защиту прав и интересов третьих лиц.
6.2. Исправление данныхПри получении запроса о неточности персональных данных Оператор:
  • блокирует персональные данные на период проверки, если это не нарушает права и интересы субъекта или третьих лиц;
  • при подтверждении неточности — в течение 7 рабочих дней вносит исправления и снимает блокировку.
6.3. Устранение неправомерной обработкиПри выявлении неправомерной обработки по обращению субъекта или Роскомнадзора Оператор незамедлительно блокирует соответствующие персональные данные.
6.4. Удаление и уничтожение данныхПерсональные данные подлежат уничтожению в случаях:
  • достижения целей обработки;
  • отзыва субъектом согласия, если:
  • иное не предусмотрено договором с субъектом;
  • отсутствуют законные основания для обработки без согласия;
  • не заключено иное соглашение между Оператором и субъектом.
7. Заключительные положения
7.1. Ответственность за нарушение законодательства в области персональных данных определяется в соответствии с законодательством Российской Федерации.
7.2. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия новой редакции.
7.3. Все изменения и дополнения к настоящей Политике подлежат утверждению Генеральным директором ООО «МЕГОПОЛИС».