Политика в отношении организации обработки и обеспечения безопасности персональных данных

Основные понятия, используемые в Политике

  • персональные данные - информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении ООО «Дирекция Единого Заказчика 1», позволяет идентифицировать личность субъекта;
  • перечень персональных данных, обрабатываемых Оператором - персональные данные, предоставленные Оператору, включают в себя, в том числе (но, не ограничиваясь) фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, имущественное, социальное положение, паспортные данные, образование, профессия, доходы, телефон, адрес электронной почты, реквизиты лицевого счета, данные о поведении пользователя на сайте, cookie, сведения о геопозиции и IP-адрес, а также, все иные персональные данные, относящиеся к субъекту персональных данных, доступные либо известные в любой конкретный момент времени Оператору.
  • оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных - действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение (в том числе передачу), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных;
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

· Источники получения персональных данных - источниками персональных данных являются субъекты персональных данных.

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) ООО «Дирекция Единого Заказчика 1» (далее – Оператор), ИНН 7448115279, расположенного по адресу: 454018, Челябинская область, г. Челябинск, ул. Чайковского, д. 169, этаж 3, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «Дирекция Единого Заказчика 1» вопросы обработки персональных данных работников ООО «Дирекция Единого Заказчика 1» и других субъектов персональных данных.

1.5. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности ООО «Дирекция Единого Заказчика 1».

2. Цели обработки персональных данных<

Персональные данные обрабатываются Оператором в следующих целях:

1) осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности: выполнение требований законодательства в сфере труда и налогообложения; ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

2) выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами ООО «Дирекция Единого Заказчика 1»;

3) осуществления прав и законных интересов ООО «Дирекция Единого Заказчика 1» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «Дирекция Единого Заказчика 1», или третьих лиц либо достижения общественно значимых целей;

4) улучшение качества оказания услуг, информирования клиентов, в том числе рекламного характера;

5) заключение договорных отношений с физическими лицами на оказание услуг и (или) выполнение работ, работа с жалобами, заявлениями граждан обратившихся в ООО "ДЕЗ 1", иных законных целях.

3.Правовое основание обработки персональных данных

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

1. Конституцией Российской Федерации;

2. Ст. 85-90 Трудового кодекса Российской Федерации;

3. Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;

4. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

5. Постановлением от 1 ноября 2012 г. № 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

6. Приказом ФСТЭК России № 55;

7. Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

8. Приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

9. Ст. 6 ФЗ от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан РФ;

11. Иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти;

12. Уставом Оператора;

11. Договорами, заключаемыми между Оператором и Субъектом персональных данных.

4. Перечень действий с персональными данным

1. При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: Сбор, запись,систематизация, накопление, хранение, уточнение (обновление, изменение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Состав обрабатываемых персональных данных

5.1. Работники , состоящие в договорных отношениях с ООО "ДЕЗ 1", члены семьи работника, родственники, кандидаты (граждане, направившие резюме при устройстве на работу), физические лица, получающие услуги от ООО "ДЕЗ 1", а также физические лица, состоящие в гражданско-правовых и иных договорных отношениях с ООО "ДЕЗ 1", физические лица (заказчики, клиенты, контрагенты ООО "ДЕЗ 1"), законные представители физических и юридических лиц, граждане обратившиеся в ООО "ДЕЗ 1" с жалобами, заявлениями, обращениями.

5.2. Перечень персональных данных, обрабатываемых Оператором: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; а также: Паспортные данные, ИНН, номер контактного телефона, электронная почта, реквизиты лицевого счета, данные о поведении пользователя на сайте, cookie, IP-адрес.

5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Дирекция Единого Заказчика 1» не осуществляется.

6. Обработка персональных данных

6.1. Обработка персональных данных в ООО «Дирекция Единого Заказчика 1» осуществляется следующими способами:

· смешанная обработка персональных данных.

6.2. ООО «ДЕЗ 1» при обработке персональных данных использует приложение «Битрикс24», которое является системой управления и автоматизации отношений с клиентами, субъектами персональных данных.

6.3. ООО «ДЕЗ 1» использует программу «Битрикс24» при работе с персональными данными субъектов. Все соединения с «Битрикс24» производятся через шифрованный обмен данными 256bit (с использованием сертификата SSL), что обеспечивает безопасность корпоративной информации и защиту паролей. В соответствии с требованиями Закона № 242-ФЗ персональные данные «Битрикс24», созданных в зоне .ru, размещены в датацентрах на территории России. Хостинг осуществляется компанией CorpSoft24. Датацентры расположены в Москве. В датацентрах установлены системы бесперебойного электроснабжения, технической безопасности, круглосуточного наблюдения и другие комплексы оборудования, которые необходимы для надежной, непрерывной работы «Битрикс24».

6.4. Допуск лиц к обработке персональных данных в информационной системе осуществляется на основании соответствующих разрешительных документов и ключей (паролей) доступа.

6.5. Носителями персональных данных являются: электронные носители – магнитные и оптические (CD и DVD), накопители, съемные жесткие диски и флэш-накопители, применяемые для создания резервных копий информации или переноса информации; бумажные носители информации о персональных данных.

7. Обеспечение защиты персональных данных при их обработке Оператором

7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.

К таким мерам относятся:

  • назначение Оператором ответственного за организацию обработки персональных данных;
  • издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
  • определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
  • ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем использования антивирусного средства защиты информации (Kaspersky Endpoint Security для бизнеса), присвоение персональных паролей для каждого рабочего места (конкретного работника), наличие средств восстановления системы защиты персональных данных. Установлены сейфы для хранения личных дел работников и персональных данных физических лиц, запирающиеся металлические шкафы, установлена пожарная сигнализация, круглосуточный охранный пост.

8. Право субъекта персональных данных на доступ к его персональным данным

8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  •  подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.7. В случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе сторонней организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Оператору принадлежащих ему функций и полномочий иному лицу, Оператор вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию о субъекте персональных данных таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также, предоставлять таким лицам соответствующие документы, содержащие такую информацию, с согласия субъекта персональных данных.

9. Конфиденциальность персональных данных Клиентов

9.1. Сведения о персональных данных субъектов, являются конфиденциальными.

9.2. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицом без согласия субъектов либо наличия иного законного основания.

9.3. Лица, имеющие доступ к персональным данным субъектов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

9.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов распространяются на все носители информации, как на бумажные, так и на автоматизированные.

9.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

10. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных

10.1. Должностные лица Оператора, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

10.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

10.3. Персональные данные субъектов персональных данных хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях или специально отведенных местах.

10.4. В процессе хранения персональных данных субъектов должны обеспечиваться:

  • требования нормативных документов, устанавливающих правила хранения конфиденциальных требований;
  • сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящей Политикой;
  • контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

10.5. Ответственным за организацию и осуществление хранения персональных данных субъектов является начальник ОИПУ Смирнов Дмитрий Игоревич, в соответствии с приказом директора ООО «Дирекция Единого Заказчика 1».

10.6. Условия прекращения обработки ПД ООО «ДЕЗ 1»: прекращение деятельности ООО "ДЕЗ 1", Ликвидация (реорганизация) ООО "ДЕЗ 1", истечение срока хранения предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ "О персональных данных".

11. Заключительные положения

11.1. Настоящая Политика вступает в силу с момента ее утверждения директором ООО «Дирекция Единого Заказчика 1».

11.2. Настоящее Политика подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов Оператора в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения директором Оператора и размещения на сайте Оператора

11.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.

11.4. Действующая редакция Политики хранится по адресу: 454018, Челябинская область, г. Челябинск, ул. Чайковского, д. 169, этаж 3, электронная версия Политики - на сайте Оператора.