I'm available for business trips to other cities for projects lasting a month or longer.
Политика обработки персональных данных в ООО «РТК Программные решения»
1.Назначение
Настоящая Политика обработки персональных данных в ООО «РТК Программные решения» (далее – Политика) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции ООО «РТК Программные решения» (далее – Общество) при обработке персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяются в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
Настоящая Политика вводится в действие впервые с даты его утверждения.
2. Общие положения
2.1.Область применения
Настоящая Политика является общедоступной и подлежит размещению на информационных стендах офисов и на сайтах Общества в информационнотелекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных.
Требования данной Политики являются обязательными для исполнения всеми работниками Общества.
2.2.Термины, определения и сокращения
Для целей Политики используются термины и сокращения, определенные в Глоссарии терминов и определений ООО «РТК Программные решения», а также следующие:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель ПДн– бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество – ООО «РТК Программные решения».
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Общество является оператором персональных данных.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «РТК Программные решения».
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (субъект ПДн) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.3.Нормативные ссылки
Настоящая Политика разрабатывалась с учетом действующих норм международного права в области персональных данных в том числе международных договоров Российской Федерации, а также положений действующего законодательства Российской Федерации в том числе следующих нормативных документов:
Конституция Российской Федерации от 12.12.1993;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
Федеральный закон от 08.02.1998 N 14-ФЗ«Об обществах с ограниченной ответственностью»;
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 01.04.1996№27-ФЗ «Об индивидуальном(персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»,
Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного
социального страхования»;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
Постановление Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства РФ от 28.05.2022 № 968 «Об утверждении Правил оказания услуг телеграфной связи».
Постановление Правительства РФ от 31.12.2021 № 2607 «Об утверждении Правил оказания телематических услуг связи».
Постановление Правительства РФ от 31.12.2021 № 2606 «Об утверждении Правил оказания услуг связи по передаче данных».
Постановление Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи».
Постановление Правительства РФ от 22.12.2006 № 785 «Об утверждении Правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания».
Постановление Правительства РФ от 06.06.2005 N353 «Об утверждении Правил оказания услуг связи проводного радиовещания».
Приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
2.4.Основные принципы обработки ПДн в Обществе
Обработка ПДн в Обществе осуществляется на законной и справедливой основе.
Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Общество не допускает обработку ПДн, несовместимых с целями сбора ПДн.
Общество при накоплении и обработке ПДн не объединяет базы данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Обработке в Обществе подлежат только ПДн, которые отвечают целям их обработки.
Общество обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Общество контролирует, чтобы обрабатываемые ПДн в Обществе не были избыточными по отношению к заявленным целям их обработки.
При обработке ПДн Общество обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
7.Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют определенные в Обществе цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.Цели обработки персональных данных
В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет цели обработки ПДн. Обработка персональных данных в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Общество, не осуществляет обработку ПДн, несовместимую с определенными целями сбора ПДн.
4.Правовые основания обработки персональных данных
Правовыми основаниями обработки ПДн Обществом, на основании которых допускается обработка ПДн, с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий, являются:
•согласие субъекта ПДн на обработку его персональных данных, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории ПДн;
•положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь: Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральный закон от 06.12.2011 № 402-ФЗ«О бухгалтерском учете»; ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 08.02.1998 N 14-ФЗ«Об обществах с ограниченной ответственностью»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»; Федеральный закон от 24.07.1998 № 125- ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Федеральный закон Российской Федерации от 07.07.2003 № 126-ФЗ «О связи»;
•судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
•договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;
•обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
•права и законные интересы Общества, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
•обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
5.Объем и категории обрабатываемых персональных данных, категории субъектов и персональных данных
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным Обществом целям обработки ПДн, определенным в соответствии с Разделом 3 настоящей Политики.
В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет для каждой определенной цели соответствующие категории и перечень обрабатываемых ПДн, а также категории субъектов ПДн.
6.Порядок и условия обработки персональных данных
В зависимости от целей обработки ПДн такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общество, получая доступ к ПДн, обязано не раскрывать и не распространять третьим лицам ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
Специальные категории ПДн и биометрические ПДн в Обществе обрабатываются в соответствии со ст. 10 и ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также подзаконных актов.
Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным Обществом целям их обработки.
6.1. Передача и поручение обработки персональных данных
Общество в ходе своей деятельности может предоставлять персональные данные субъектов ПДн третьим лицам в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом обязательным условием предоставления ПДн третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. При этом Обществом устанавливается обязанность лиц, которым Общество поручает обработку ПДн, по запросу в течение срока действия поручения на обработку ПДн, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие этими лицами мер и соблюдение в целях исполнения поручения Общества, установленных требований по обеспечению конфиденциальности и безопасности ПДн.
Договоры, заключаемые Обществом, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности передаваемых ПДн, а также иные условия, предусмотренные законодательством Российской Федерации в области обработки ПДн.
Кроме того, Общество обязано передавать ПДн уполномоченным органам власти Российской Федерации в случаях, предусмотренных действующим законодательством Российской Федерации.
6.2. Обеспечение безопасности персональных данных
При обработке ПДн Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты ПДн.
Общество соблюдает обязанности оператора ПДн, установленные статьями №№ 18-19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В Обществе определены и реализуются следующие требования законодательства в области защиты ПДн:
•требования о соблюдении конфиденциальности ПДн;
•требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
•требования об обязанности Общества при сборе ПДн, установленных ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «Оперсональных данных» Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн, в частности:
•в Обществе назначены ответственные за обработку и защиту ПДн;
•определены угрозы безопасности ПДн при их обработке в информационных системах ПДн;
•проводятсямероприятиявцеляхобнаружения фактовнесанкционированного доступа к ПДн и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
•определены мероприятия, направленные на восстановление ПДн, в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
•ведется учет машинных носителей ПДн;
•проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
•разработана система защиты информации для ИСПДн, учитывающая требования подзаконных актов Российской Федерации в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
•применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
•в Обществе изданы локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, процедуры, направленные на устранение последствий таких нарушений;
•проводится ознакомление работников, допущенных к обработке ПДн
субъектов ПДн, с требованиями, установленными действующим законодательством Российской Федерации в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
•организована надлежащая обработка ПДн, осуществляемая с
использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
•организован надлежащий порядок работы с ПДн, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих ПДн, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без использования средств автоматизации);
•доступ работников к информации, содержащей ПДн субъектов ПДн, организован в соответствии с их должностными (функциональными) обязанностями;
•осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Общества;
•проводится оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.3.Хранение персональных данных
Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
При осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка ПДн в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей ПДн) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Общество обеспечивает раздельное хранение ПДн (материальных носителей ПДн), используемых для различных целей обработки, осуществляемой без использования средств автоматизации.
При хранении материальных носителей ПДн соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
7.Актуализация, исправление, удаление и уничтожение персональных данных
В случае подтверждения факта неточности ПДн они подлежат их актуализации Обществом.
Обработка ПДн прекращается Обществом в случае выявления и подтверждения факта неправомерности их обработки.
ПДн подлежат уничтожению Обществом в случаях достижения целей обработки ПДн, а также надлежащим образом оформленного отзыва субъектом ПДн согласия наих обработку. При этом в случае получения Обществом отзыва субъектом ПДн согласия на их обработку Общество вправе продолжить такую обработку если она предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн или обработка ПДн требуется для исполнения требований действующего законодательства Российской Федерации.
Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения персональных данных, которые утверждены Приказом Роскомнадзора от 28.10.2022 № 179.
8.Ответы на запросы субъектов ПДн на доступ к персональным данным
Общество осуществляет прием и обработку обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта ПДн.
При рассмотрении обращений либо при получении запросов субъектов ПДн Общество руководствуется положениями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных».
Общество, получив обращение либо запрос субъекта ПДн, содержащие информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», убедившись в законности такого обращения либо запроса, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на предоставление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом, предоставляемые Обществом сведения не могут содержать ПДн других субъектов ПДн, исключение составляют случаи, при которых имеются законные основания для раскрытия ПДн других субъектов ПДн.
Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту ПДн или его представителю, в случае наличия у Общества законных оснований.
Процесс обработки запросов субъектов ПДн или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Общества.
9.Хранение и архивирование
Подлинник данного Положения во время срока действия хранится в учредительных документах ООО «РТК Программные решения».
10.Рассылка и актуализация
Периодический пересмотр и актуализация настоящей Политики проводится в ООО «РТК Программные решения»по мере необходимости, но не реже 1 раза в 24 месяца.
Решение об инициировании процесса внесения изменений в документ принимает Директор Единоличный исполнительный орган (Директор) на основании изменений регуляторных требований, предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов
Настоящая Политика обработки персональных данных в ООО «РТК Программные решения» (далее – Политика) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции ООО «РТК Программные решения» (далее – Общество) при обработке персональных данных, а также реализуемые в Обществе требования к защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяются в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
Настоящая Политика вводится в действие впервые с даты его утверждения.
2. Общие положения
2.1.Область применения
Настоящая Политика является общедоступной и подлежит размещению на информационных стендах офисов и на сайтах Общества в информационнотелекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных.
Требования данной Политики являются обязательными для исполнения всеми работниками Общества.
2.2.Термины, определения и сокращения
Для целей Политики используются термины и сокращения, определенные в Глоссарии терминов и определений ООО «РТК Программные решения», а также следующие:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель ПДн– бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество – ООО «РТК Программные решения».
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Общество является оператором персональных данных.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «РТК Программные решения».
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (субъект ПДн) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.3.Нормативные ссылки
Настоящая Политика разрабатывалась с учетом действующих норм международного права в области персональных данных в том числе международных договоров Российской Федерации, а также положений действующего законодательства Российской Федерации в том числе следующих нормативных документов:
Конституция Российской Федерации от 12.12.1993;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
Федеральный закон от 08.02.1998 N 14-ФЗ«Об обществах с ограниченной ответственностью»;
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 01.04.1996№27-ФЗ «Об индивидуальном(персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»,
Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного
социального страхования»;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
Постановление Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства РФ от 28.05.2022 № 968 «Об утверждении Правил оказания услуг телеграфной связи».
Постановление Правительства РФ от 31.12.2021 № 2607 «Об утверждении Правил оказания телематических услуг связи».
Постановление Правительства РФ от 31.12.2021 № 2606 «Об утверждении Правил оказания услуг связи по передаче данных».
Постановление Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи».
Постановление Правительства РФ от 22.12.2006 № 785 «Об утверждении Правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания».
Постановление Правительства РФ от 06.06.2005 N353 «Об утверждении Правил оказания услуг связи проводного радиовещания».
Приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
2.4.Основные принципы обработки ПДн в Обществе
Обработка ПДн в Обществе осуществляется на законной и справедливой основе.
Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Общество не допускает обработку ПДн, несовместимых с целями сбора ПДн.
Общество при накоплении и обработке ПДн не объединяет базы данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Обработке в Обществе подлежат только ПДн, которые отвечают целям их обработки.
Общество обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Общество контролирует, чтобы обрабатываемые ПДн в Обществе не были избыточными по отношению к заявленным целям их обработки.
При обработке ПДн Общество обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
7.Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют определенные в Обществе цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.Цели обработки персональных данных
В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет цели обработки ПДн. Обработка персональных данных в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Общество, не осуществляет обработку ПДн, несовместимую с определенными целями сбора ПДн.
4.Правовые основания обработки персональных данных
Правовыми основаниями обработки ПДн Обществом, на основании которых допускается обработка ПДн, с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий, являются:
•согласие субъекта ПДн на обработку его персональных данных, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории ПДн;
•положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь: Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральный закон от 06.12.2011 № 402-ФЗ«О бухгалтерском учете»; ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 08.02.1998 N 14-ФЗ«Об обществах с ограниченной ответственностью»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»; Федеральный закон от 24.07.1998 № 125- ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Федеральный закон Российской Федерации от 07.07.2003 № 126-ФЗ «О связи»;
•судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
•договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;
•обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
•права и законные интересы Общества, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
•обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
5.Объем и категории обрабатываемых персональных данных, категории субъектов и персональных данных
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным Обществом целям обработки ПДн, определенным в соответствии с Разделом 3 настоящей Политики.
В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет для каждой определенной цели соответствующие категории и перечень обрабатываемых ПДн, а также категории субъектов ПДн.
6.Порядок и условия обработки персональных данных
В зависимости от целей обработки ПДн такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общество, получая доступ к ПДн, обязано не раскрывать и не распространять третьим лицам ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
Специальные категории ПДн и биометрические ПДн в Обществе обрабатываются в соответствии со ст. 10 и ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также подзаконных актов.
Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным Обществом целям их обработки.
6.1. Передача и поручение обработки персональных данных
Общество в ходе своей деятельности может предоставлять персональные данные субъектов ПДн третьим лицам в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом обязательным условием предоставления ПДн третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. При этом Обществом устанавливается обязанность лиц, которым Общество поручает обработку ПДн, по запросу в течение срока действия поручения на обработку ПДн, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие этими лицами мер и соблюдение в целях исполнения поручения Общества, установленных требований по обеспечению конфиденциальности и безопасности ПДн.
Договоры, заключаемые Обществом, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности передаваемых ПДн, а также иные условия, предусмотренные законодательством Российской Федерации в области обработки ПДн.
Кроме того, Общество обязано передавать ПДн уполномоченным органам власти Российской Федерации в случаях, предусмотренных действующим законодательством Российской Федерации.
6.2. Обеспечение безопасности персональных данных
При обработке ПДн Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты ПДн.
Общество соблюдает обязанности оператора ПДн, установленные статьями №№ 18-19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В Обществе определены и реализуются следующие требования законодательства в области защиты ПДн:
•требования о соблюдении конфиденциальности ПДн;
•требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
•требования об обязанности Общества при сборе ПДн, установленных ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «Оперсональных данных» Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн, в частности:
•в Обществе назначены ответственные за обработку и защиту ПДн;
•определены угрозы безопасности ПДн при их обработке в информационных системах ПДн;
•проводятсямероприятиявцеляхобнаружения фактовнесанкционированного доступа к ПДн и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
•определены мероприятия, направленные на восстановление ПДн, в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
•ведется учет машинных носителей ПДн;
•проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
•разработана система защиты информации для ИСПДн, учитывающая требования подзаконных актов Российской Федерации в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
•применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
•в Обществе изданы локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, процедуры, направленные на устранение последствий таких нарушений;
•проводится ознакомление работников, допущенных к обработке ПДн
субъектов ПДн, с требованиями, установленными действующим законодательством Российской Федерации в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
•организована надлежащая обработка ПДн, осуществляемая с
использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
•организован надлежащий порядок работы с ПДн, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих ПДн, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без использования средств автоматизации);
•доступ работников к информации, содержащей ПДн субъектов ПДн, организован в соответствии с их должностными (функциональными) обязанностями;
•осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Общества;
•проводится оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.3.Хранение персональных данных
Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
При осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка ПДн в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей ПДн) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
Общество обеспечивает раздельное хранение ПДн (материальных носителей ПДн), используемых для различных целей обработки, осуществляемой без использования средств автоматизации.
При хранении материальных носителей ПДн соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
7.Актуализация, исправление, удаление и уничтожение персональных данных
В случае подтверждения факта неточности ПДн они подлежат их актуализации Обществом.
Обработка ПДн прекращается Обществом в случае выявления и подтверждения факта неправомерности их обработки.
ПДн подлежат уничтожению Обществом в случаях достижения целей обработки ПДн, а также надлежащим образом оформленного отзыва субъектом ПДн согласия наих обработку. При этом в случае получения Обществом отзыва субъектом ПДн согласия на их обработку Общество вправе продолжить такую обработку если она предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн или обработка ПДн требуется для исполнения требований действующего законодательства Российской Федерации.
Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения персональных данных, которые утверждены Приказом Роскомнадзора от 28.10.2022 № 179.
8.Ответы на запросы субъектов ПДн на доступ к персональным данным
Общество осуществляет прием и обработку обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта ПДн.
При рассмотрении обращений либо при получении запросов субъектов ПДн Общество руководствуется положениями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных».
Общество, получив обращение либо запрос субъекта ПДн, содержащие информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», убедившись в законности такого обращения либо запроса, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на предоставление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом, предоставляемые Обществом сведения не могут содержать ПДн других субъектов ПДн, исключение составляют случаи, при которых имеются законные основания для раскрытия ПДн других субъектов ПДн.
Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту ПДн или его представителю, в случае наличия у Общества законных оснований.
Процесс обработки запросов субъектов ПДн или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Общества.
9.Хранение и архивирование
Подлинник данного Положения во время срока действия хранится в учредительных документах ООО «РТК Программные решения».
10.Рассылка и актуализация
Периодический пересмотр и актуализация настоящей Политики проводится в ООО «РТК Программные решения»по мере необходимости, но не реже 1 раза в 24 месяца.
Решение об инициировании процесса внесения изменений в документ принимает Директор Единоличный исполнительный орган (Директор) на основании изменений регуляторных требований, предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов
