Политика конфиденциальности

Политика обработки персональных данных в ООО «ГигаНет»

1. Общие положения

1.1. Настоящая Политика определяет порядок создания, обработки и защиты персональных данных граждан и работников ООО «ГигаНет» (далее — Общество).

1.2. Основанием для разработки данного локального нормативного акта являются:

• Конституция РФ от 12 декабря 1993 г.;

• Трудовой кодекс РФ;

• Гражданский кодекс РФ;

• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ);

• Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

• Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных.

1.3. Целью настоящей Политики является определение порядка обработки персональных данных граждан Управления, а так же лиц, работающих по трудовым договорам и гражданско-правовым договорам (далее — работников) Управления, согласно Перечня персональных данных, утвержденного Приказом руководителя; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан и работников Управления, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

1.4. Персональные данные граждан относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.

2. Термины и определения

Общество — общество с ограниченной ответственностью «ГигаНет» (ООО «ГигаНет»).

Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные.

Абонент – пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации.

Посетитель – лицо, не являющееся работником Общества, но временно находящееся на его территории.

Работник – физическое лицо, вступившее в трудовые отношения с Обществом.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Категории субъектов персональных данных

В Обществе осуществляется обработка персональных данных следующих категорий Субъектов:

• Работников Общества;

• Кандидатов на вакантные должности;

• Уволенных работников;

• Родственников работников;

• Абонентов и лиц, желающих заключить договор на услуги связи с Обществом (потенциальных абонентов);

• Участников Общества;

• Лиц, с которыми заключены договоры гражданско-правового характера;

• Представителей контрагентов Общества, включая контактных лиц контрагентов;

• Представителей субъектов персональных данных, уполномоченных на представление их интересов.

4. Общие принципы и цели обработки персональных данных

4.1. Обработка персональных данных граждан и работников осуществляется на основе принципов:

1) Обработка персональных данных должна осуществляться на законной и справедливой основе.

2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Управление должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 8) Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

4.2. Персональные данные в Обществе обрабатываются в целях:

• Персональные данные работников Общества – в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения соблюдения законодательства Российской Федерации, содействия в трудоустройстве, обучении и продвижении работников по службе, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, обеспечения соблюдения пропускного и объектового режима в помещениях Общества.

• Персональные данные кандидатов на вакантные должности – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств, обеспечения соблюдения пропускного и объектового режима в помещениях Общества.

• Персональные данные уволенных работников – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Общества, обеспечения соблюдения пропускного и объектового режима в помещениях Общества.

• Персональные данные родственников работников – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, предоставления гарантий и компенсаций работникам Общества, установленных действующим законодательством и локальными нормативными актами Общества;

• Персональные данные абонентов – в целях исполнения договоров об оказании услуг связи, заключенных между Обществом и абонентом.

• Персональные данные лиц, желающих заключить договор на услуги связи с Обществом (потенциальных абонентов), – в целях заключения договора об оказании услуг связи между Обществом и потенциальным абонентом.

• Персональные данные участников Общества – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, соблюдения прав и законных интересов участников Общества, обязательного раскрытия информации, осуществления выплат дивидендов участникам.

• Персональные данные представителей контрагентов Общества, включая контактных лиц контрагентов, – в целях исполнения заключенных договоров.

• Персональные данные представителей субъектов персональных данных – в целях обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Обществом.

5. Обработка персональных данных работников общества

5.1. Общество обрабатывает персональные данные работников Общества в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001г. No 197-ФЗ (далее – ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.

5.2. Общество обрабатывает персональные данные работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также с целью:

• ведения кадрового учёта;

• ведения бухгалтерского учёта;

• осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

• соблюдение норм и требований по охране труда и обеспечения личной безопасности работников Общества, сохранности имущества;

• контроля за количеством и качеством выполняемой работы;

• предоставления льгот и компенсаций, предусмотренные законодательством РФ;

• открытия личных банковских счетов работников Общества для перечисления заработной платы;

• организации обучения работников Общества.

5.3. Общество защищает персональные данные работников за счет собственных средств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.

5.4. Общество разрешает доступ к персональным данным работников только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций.

5.5. Общество получает все персональные данные работников у них самих. Если данные работника, возможно, получить только у третьей стороны, Общество заранее уведомляет об этом работника и получает его письменное согласие. Общество сообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

5.6. Общество обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора.

5.7. Общество может обрабатывать специальные категории персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».

5.8. Общество не обрабатывает биометрические персональные данные работников.

6. Хранение и использование персональных данных

6.1. Информация персонального характера гражданина и работника хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.

6.2. Порядок хранения документов, содержащих персональные данные работников осуществлять в соответствии с:

• Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках»;

• Унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата России от 05 января 2004 г. № 1;

• Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральным законом от 27 июля 2006 г. № 152-ФЗ;

• Постановлением Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения;

• Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры России от 25 августа 2010 г. № 558.

6.3. Персональные данные граждан и работников хранятся на бумажных носителях и в электронном виде.

6.4. Хранение текущей документации и оконченной производством документации, содержащей персональные данные граждан и работников, осуществляется в помещениях Общества, предназначенных для хранения отработанной документации.

6.5. Хранение персональных данных граждан и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные граждан и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

6.6. Общество обеспечивает ограничение доступа к персональным данным граждан и работников лицам, не уполномоченным Федеральным законодательством, либо Обществом для получения соответствующих сведений.

6.7. Доступ к персональным данным граждан и работников без специального разрешения имеют только должностные лица Общества, допущенные к работе с персональными данными граждан и работников. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных.

7. Защита персональных данных

7.1. Общество при обработке персональных данных граждан и работников обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

7.3. Обеспечение безопасности персональных данных граждан и работников достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) учетом машинных носителей персональных данных;

5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.

7.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.

7.6. Для обеспечения безопасности персональных данных граждан и работников при неавтоматизированной обработке предпринимаются следующие меры:

7.6.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:

• В кабинетах, где осуществляется хранение документов, содержащих персональные данные граждан и работников, имеются сейфы, шкафы, стеллажи, тумбы.

• Дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками.

7.6.2. Все действия по неавтоматизированной обработке персональных данных граждан и работников осуществляются только должностными лицами, согласно Списка должностей, утвержденного Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

7.6.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

Персональные данные граждан и работников, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

7.6.4. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8. Передача персональных данных

8.1. Общество в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам по письменному запросу в соответствии с требованиями законодательства РФ либо с письменного согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

8.2. В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных гражданина или работника, либо отсутствует письменное согласие гражданина или работника на передачу его персональных данных, Общество обязано отказать в предоставлении персональных данных.

9. Права субъектов персональных данных

9.1. Субъекты, персональные данные которых обрабатываются в Обществе, имеют право получить информацию относительно персональных данных, обрабатываемых Обществом, в объеме, предусмотренном ФЗ РФ «О персональных данных», а так же:

• Получать полную информацию о своих персональных данных.

• Иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные Субъекта.

9.2. Сведения о наличии персональных данных должны быть предоставлены Субъекту персональных данных в доступной форме, и они не должны содержать персональные данные, относящиеся к другим Субъектам персональных данных.

9.3. Доступ к своим персональным данным предоставляется Субъекту персональных данных или его представителю Обществом при личном обращении, либо при получении запроса.

• Получать сведения об Обществе, о месте его нахождения, о наличии у Общества сведений о персональных данных, относящихся к соответствующему Субъекту персональных данных.

• Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

• Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.4. Если Субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.

10. Уничтожение (обезличивание) персональных данных

10.1. Уничтожение (обезличивание) персональных данных Субъекта производится в следующих случаях:

• по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных данных либо, если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами РФ;

• в случае выявления неправомерной обработки персональных данных Обществом в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных;

• в случае отзыва Субъектом персональных данных согласия на Обработку его персональных данных, если сохранение персональных данных более не требуется для целей Обработки персональных данных, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных данных либо если Общество не вправе осуществлять Обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами РФ;

• в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством РФ и организационно-распорядительными документами Общества;

• в случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решения суда.

10.2. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных и при необходимости уничтожения или блокирования части персональных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10.3. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Ответственность за нарушение норм, регулирующих обработку персональных данных

11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных гражданина и работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.

11.2. Работники Общества, допущенные к обработке персональных данных граждан и работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

12. Заключительные положения

12.1. Настоящая Политика вступает в силу с даты её утверждения.

12.2. При необходимости приведения настоящей Политики в соответствие со вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.

12.3. Настоящая Политика распространяется на всех граждан и работников, а также работников Общества, имеющих доступ и осуществляющих перечень действий с персональными данными граждан и работников.

12.4. Настоящая Политика, является общедоступной и подлежит размещению на информационных стендах офисов Общества и на сайте giganet.su