В Политике используются следующие понятия:
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Конфиденциальность персональных данных – обязательное для соблюдения Оператором требование не допускать распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Оператор персональных данных (далее Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики Оператором является ООО «КРЕДО-С». Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Сотрудник (работник) – физическое лицо, состоящее в трудовых отношениях с Оператором.
Субъект – физическое лицо, обладатель собственных персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2.1. Назначение документа
2.1.1 Политика в отношении обработки персональных данных (далее - Политика) ООО «КРЕДО-С» определяет принципы, порядок и условия обработки персональных данных6.
2.1.2 Политика разработана в соответствии с частью 1 статьи 23, статьи 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников» от 30.12.2001 № 197 ФЗ, Федеральным законом от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
3.1 ООО «КРЕДО-С» обрабатывает персональные данные принадлежащие работникам (субъектам), состоящим в трудовых отношениях с ООО «КРЕДО-С», субъектам, состоящим в гражданско-правовых отношениях с ООО «КРЕДО-С», субъектам, состоящим в договорных отношениях с ООО «КРЕДО-С».
4.1. Оператор осуществляет обработку персональных данных с целью кадрового учета работников (субъектов), состоящих в трудовых отношениях с ООО «КРЕДО-С», расчета заработной платы этих лиц и соответствующих отчислений с заработной платы, учета рабочего времени работников, выполнения обязательств, предусмотренных договором с клиентом ООО «КРЕДО-С».
5.1 Сроки обработки указанных выше персональных данных определяются в соответствие со сроком действия договора с субъектом ПДн, приказом Министерства культуры РФ от 25 августа 2010 г. N 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
Оператор обязан:
а) использовать персональные данные только в соответствии с целями обработки, определившими их получение;
б) в порядке, установленном законодательством РФ, обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты;
в) осуществлять передачу персональных данных субъекта только в соответствии с законодательством Российской Федерации;
г) по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и порядке обработки этих данных.
Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
ООО «КРЕДО-С» имеет право:
а) ограничить доступ субъекта к его персональным данным в соответствии с федеральными законами;
б) требовать от субъекта предоставления достоверных персональных данных;
в) передавать персональные данные субъекта без его согласия, если это предусмотрено федеральными законами.
Субъекты персональных данных имеют право:
а) на получение информации, касающейся обработки его персональных данных;
б) получать доступ к своим персональным данным, включая право получать копии любой записи, содержащей собственные персональные данные, за исключением случаев, предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
г) при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта – заявить в письменной форме о своём несогласии, представив соответствующее обоснование;
д) требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них изменениях.
8.1 Обработка персональных данных ООО «КРЕДО-С» осуществляется на основе следующих принципов:
а) ограничивается достижением конкретных, заранее определённых и законных целей;
б) обработке подлежат только персональные данные, которые отвечают целям их обработки;
в) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
г) недопустимости объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
ООО «КРЕДО-С» предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
К мерам обеспечения безопасности в ООО «КРЕДО-С» относятся:
а) утверждение приказом директора ООО «КРЕДО-С» списка должностей работников, которым доступ к персональным данным необходим для выполнения служебных обязанностей;
б) утверждение приказом директора ООО «КРЕДО-С» списка персональных данных, которые необходимы для выполнения функций ООО «КРЕДО-С»;
в) регламентация процессов сбора, хранения, накопления, уточнения, и систематизации, обезличивания, блокирования, уничтожения персональных данных, обезличивания;
г) ведение журналов учёта съёмных носителей информации;
д) периодический контроль выполнения установленных мер по защите персональных данных;
е) актуализация документов ООО «КРЕДО-С» при внесении изменений в законодательные акты РФ;
ж) Установка и использование сертифицированных средств защиты на компьютеры ООО «КРЕДО-С», на которых ведется обработка персональных данных (за исключением компьютеров, обрабатывающих общедоступные персональные данные).
В ООО «КРЕДО-С» назначено лицо, ответственное за организацию обработки персональных данных.
Настоящая Политика является внутренним документом ООО «КРЕДО-С», и является общедоступной.
ООО «КРЕДО-С» оставляет за собой право вносить необходимые изменения в Политику при изменении действующего законодательства РФ и условий своей деятельности.