1. ОБЩИЕ СВЕДЕНИЯ

1.1. Общие положения

1.1.1. Политика обработки персональных данных ООО «АЭМЗ» (далее – Политика) определяет основные принципы, цели, функции, условия, способы обработки, права субъектов обрабатываемых персональных данных том числе право на защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

1.1.2. Настоящая Политика подлежит включению в разрабатываемый при заключении договоров с контрагентами перечень локальных нормативных актов ООО «АЭМЗ», распространяющихся на их работников.

1.1.3. В соответствии с пунктом 2 части 2 статьи 1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обращение с документами, переданными на хранение в соответствии с архивным законодательством, не регулируется настоящей Политикой.

1.1.4. Основные понятия, используемые в Политике:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • распространение персональных данных – действия, направленные
  • на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные
  • на раскрытие персональных данных определенному лицу или кругу лиц;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых
  • с использованием средств автоматизации или без их использования.

1.1.5. Настоящая Политика распространяется на все процессы ООО «АЭМЗ» связанные с обработкой ПДн субъектов и обязательна для применения всеми работниками, осуществляющими обработку ПДн в силу своих должностных обязанностей.

1.1.6. Все работники ООО «АЭМЗ», получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

1.1.7. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Российской Федерации.

1.2. Период действия и порядок внесения изменений

1.2.1. Настоящая политика является локальным нормативным документом постоянного действия.

1.2.2. Политика утверждается и вводится в действие в ООО «АЭМЗ» приказом генерального директора ООО «АЭМЗ».

1.2.3. Политика признается утратившей силу в ООО «АЭМЗ» на основании приказа генерального директора ОО «АЭМЗ».

1.2.4. Изменения в политике вносятся приказом генерального директора ООО «АЭМЗ».

2. СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ, ССЫЛКИ НА ДОКУМЕНТЫ

2.1.1. Сокращения

  • ПДн – персональные данные;
  • РФ – Российская Федерация.

2.2. Определения

Информационный Актив – информация и места ее обработки, представляющие ценность для ООО «АЭМЗ»;

Информационная безопасность – состояние защищенности информации, характеризуемое способностью персонала технических средств и информационных технологий обеспечивать доступность, конфиденциальность и целостность и информации при ее обработке техническими средствами

2.3. Ссылки на документы предприятия.

Таблица 1

Документы
СТП СМИБ 6.1-2019 Стандарт предприятия СМИБ. Управление рисками информационной безопасности
СТП СМИБ П-50-07-2019 Стандарт предприятия СМИБ. Политика информационной безопасности

2.4. Ссылки на нормативно-правовые акты РФ.

Таблица 2

Документы
Конституция Российской Федерации
Трудовой Кодекс РФ. Глава 14
Федеральный закон № 152 «О персональных данных»
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

3. Цели сбора персональных данных

3.1. ООО «АЭМЗ» осуществляет обработку персональных данных только на законной основе.

3.2. Целями обработки персональных данных в ООО «АЭМЗ» являются:

  • обеспечение трудовых процессов и выполнения законодательства РФ, связанного с трудовыми отношениями;
  • обработка персональных данных на основании договора с контрагентами;
  • учет и регистрация посетителей ООО «АЭМЗ»;
  • выполнение иных требований законодательства РФ;
  • исполнение договорных обязательств перед контрагентами.

4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Объём, содержание и сроки обработки персональных данных определяются целями обработки персональных данных.

4.2. В ООО «АЭМЗ» обрабатываются следующие категории субъектов персональных данных:

  • сотрудники контрагентов;
  • работники ООО «АЭМЗ»;
  • физические лица, с которыми прекращены трудовые отношения;
  • клиенты и контрагенты;
  • посетители и соискатели.

4.3. В ООО «АЭМЗ» обрабатываются следующие персональные данные:

  • Первичные учетные данные;
  • Сведения о гражданине;
  • Сведения о месте проживания и регистрации;
  • Сведения о документах, удостоверяющих личность;
  • Контактная информация;
  • Сведения о занимаемой должности;
  • Сведения об условиях труда;
  • Сведения о профессиональном опыте;
  • Сведения об основном и дополнительном образовании;
  • Сведения о профессионально-деловых навыках;
  • Сведения о заработной плате, иных выплатах;
  • Сведения о страховых, налоговых и иных обязательных отчислениях;
  • Сведения о регистрации в ФНС РФ, пенсионном Фонде РФ;
  • Сведения о трудовом стаже;
  • Сведения о пенсии;
  • Сведения о социальных и других льготах;
  • Сведения о долговых и иных обязательствах;
  • Сведения для отчислений я профессиональных взносов;
  • Сведения о медицинском страховании;
  • Сведения о работниках из числа иностранных граждан;
  • Сведения о воинском учете;
  • Сведения о семье;
  • Сведения о прекращении трудовых отношений;
  • Медицинские ограничения выполнения трудовых функций;
  • Сведения о донорстве;
  • Сведения о соответствии занимаемой должности, выполняемой работе;
  • Сведения о поощрениях и наградах;
  • Сведения о нарушениях и взысканиях;
  • Сведения по учету рабочего времени, выполненной работы;
  • Сведения о временной нетрудоспособности;
  • Сведения по учету времени отдыха;
  • Сведения о контрагентах.

5. Порядок и условия обработки персональных данных

5.1. ООО «АЭМЗ» осуществляет обработку, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение, запись на машинные носители и их хранение, а также передачу третьим лицам персональных данных субъектов персональных данных.

5.2. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.

5.3. ООО «АЭМЗ» оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, ООО «АЭМЗ» имеет право прекратить все отношения с субъектом персональных данных.

5.4. ООО «АЭМЗ» не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

5.5. Условием прекращения обработки персональных данных в ООО «АЭМЗ» является: достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, выявление неправомерной обработки персональных данных.

5.6. При эксплуатации информационных систем персональных данных ООО «АЭМЗ» принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных.

5.7. При обработке персональных данных, осуществляемой без использования средств автоматизации, ООО «АЭМЗ» выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.8. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

5.9. Автоматизированная обработка ПДн осуществляется в ИСПДн ООО «АЭМЗ» в строгом соответствии с настоящей политикой.

5.10. В ООО «АЭМЗ» запрещается принятие на основании исключительно автоматизированной̆ обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.

5.11. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО «АЭМЗ» и другие лица, осуществляющие обработку ПДн по поручению ООО «АЭМЗ»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «АЭМЗ» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными нормативными актами ООО «АЭМЗ».

5.12. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), необходимо выполнять следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
  • сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
  • реквизиты ООО «АЭМЗ» (наименование и адрес);
  • фамилию, имя, отчество и адрес субъекта ПДн;
  • источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки;
  • общее описание используемых оператором способов обработки ПДн;
  • типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
  • типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

5.13. ООО «АЭМЗ» осуществляет ознакомление своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными нормативными актами по вопросам обработки персональных данных и, при необходимости, организуют обучение указанных работников.

6. Получение персональных данных

6.1. Получение персональных данных в ООО «АЭМЗ» организуется таким способом, чтобы не нарушить конфиденциальность, целостность и доступность собираемых ПДн.

6.2. Перечень случаев, когда необходимо получить письменное согласие субъекта ПДн на обработку его персональных данных, а также порядок и форма получения согласия определяются локальными нормативными актами ООО «АЭМЗ» в соответствии с положениями Федерального закона РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года.

6.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.

6.4. ПДн могут быть получены ООО «АЭМЗ» от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года.

7. Уточнение персональных данных

7.1. Уточнение ПДн, обрабатываемых в ООО «АЭМЗ» осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.

7.2. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

8. Предоставление и передача персональных данных

8.1. При предоставлении ПДн третьей стороне должны выполняться следующие условия:

  • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности персональных данных при их обработке;
  • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
  • наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев предусмотренных законодательством.

8.2. Трансграничная передача ПДн, на территорию иностранных государств может осуществляться ООО «АЭМЗ» в соответствии с положениями ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться со стороны ООО «АЭМЗ» в следующих случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, предусмотренных международными договорами Российской Федерации;
  • исполнения договора, стороной которого является субъект ПДн;
  • защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

8.3. В целях информационного обеспечения в ООО «АЭМЗ» могут создаваться специализированные справочники (телефонные, адресные книги и др.), содержащие персональные данные, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.

8.4. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по требованию его законного представителя.

9. Блокирование персональных данных

9.1. Основанием блокирования ООО «АЭМЗ» персональных данных, относящихся к соответствующему субъекту ПДн, является:

обращение или запрос субъекта ПДн при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;

9.2. обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;

обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.

10. Уничтожение персональных данных

10.1. Основанием для уничтожения ПДн, обрабатываемых в ООО «АЭМЗ», является:

  • достижение цели обработки ПДн;
  • отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором;
  • выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
  • истечение срока хранения ПДн, установленного законодательством РФ и локальными нормативными актами ООО «АЭМЗ»;
  • предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда.

10.2. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

10.3. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

11. Обеспечение безопасности персональных данных

11.1. При обработке ПДн ООО «АЭМЗ» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

11.2. Обеспечение безопасности ПДн достигается:

  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.

11.3. Уровни защищенности ПДн при их обработке в ИСПДн ООО «АЭМЗ», требования к защите ПДн, обеспечивающих уровни защищенности ПДн, требования к материальным носителям биометрических ПДн и технологиям их хранения вне ИСПДн определяются в зависимости от угроз безопасности персональным данным с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, иными нормативными правовыми актами, а также договорами между ООО «АЭМЗ», операторами ПДн и субъектами ПДн.

11.4. Обеспечение безопасности ПДн при трансграничной передачи ПДн осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности ПДн, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются ПДн.

12. Права субъекта персональных данных

12.1. Субъект ПДн, чьи персональные данные обрабатываются в ООО «АЭМЗ» имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн оператором;
  • правовые основания и цели обработки ПДн;
  • цели и способы обработки ПДн;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
  • наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

12.2. Сведения, указанные в п. 12.1 предоставляются субъекту ПДн ООО «АЭМЗ» в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

13. Ответственность за нарушение норм, регулирующих обработку персональных данных

13.1. ООО «АЭМЗ» и/или работники ООО «АЭМЗ», виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

13.2. Моральный вред, причинённый субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.