Политика конфиденциальности и обработки персональных данных
ПОЛИТИКА
обработки и защиты персональных данных ООО «Русь-Телеком»
-
Общие положения
-
Настоящая Политика определяет порядок создания, обработки и защиты персональных данных граждан и работников ООО «Русь-Телеком» (далее – Общество, Оператор). Политика является общедоступным документом Общества и предусматривает возможность ознакомления с ней любых лиц. Политика действует бессрочно после утверждения и до ее замены новой версией. В Политике используются термины и определения в соответствии с их значениями, как они определены Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
-
Политика действует в отношении всех персональных данных, которые обрабатывает Общество
-
Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
-
Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
-
-
Основные понятия, используемые в настоящей Политике
-
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
-
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
-
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
-
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
-
сбор;
-
запись;
-
систематизацию;
-
накопление;
-
хранение;
-
уточнение (обновление, изменение);
-
извлечение;
-
использование;
-
передачу (предоставление, доступ);
-
распространение;
-
обезличивание;
-
блокирование;
-
удаление;
-
уничтожение.
-
-
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
-
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
-
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
-
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
-
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
-
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
-
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
-
-
Цели обработки персональных данных
-
Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
-
Обработка персональных данных осуществляется в следующих целях:
-
обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
-
осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
-
осуществление своей деятельности в соответствии с уставом ООО «Русь-Телеком»;
-
ведение кадрового делопроизводства;
-
содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
-
привлечение и отбор кандидатов на работу у Оператора;
-
организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
-
заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
-
осуществление гражданско-правовых отношений;
-
ведение бухгалтерского учета;
-
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации;
-
ведения базы контрагентов Общества;
-
продвижения услуг (работ, товаров) Общества, его сервисов;
-
расширения клиентской базы;
-
подготовки, заключения, исполнения и прекращения договоров с контрагентами Общества как на бумажном носителе, так и в электронном виде;
-
осуществления пропускного режима работников Общества на территорию офиса;
-
реализации обратной связи и осуществление взаимодействия с Обществом;
-
оказания Обществом услуг по технической поддержке;
-
в иных случаях, не запрещенных законодательством РФ, в том числе целях исполнения требований законодательства РФ.
-
-
Обработке подлежат только персональные данные, которые отвечают целям их обработки с обязательным соблюдением порядка их обработки, указанном в настоящей Политике.
-
Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
-
-
Правовыми основаниями обработки персональных данных
Правовым основанием обработки персональных данных являются:
-
Конституция РФ от 12 декабря 1993 г.;
-
глава 14 Трудового кодекса РФ;
-
часть 1 и 2, часть 4 Гражданского кодекса РФ;
-
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
-
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
-
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-
Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-
приказы руководителя Общества и иные организационно-распорядительные акты руководителя Общества.
-
-
Объем и категории обрабатываемых персональных данных, категориисубъектов персональных данных
-
Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.
-
Обществом обрабатываются персональные данные следующих субъектов персональных данных:
-
физические лица, состоящие с Обществом в трудовых отношениях (работники);
-
физические лица, являющиеся близкими родственниками работников Общества;
-
физические лица, уволившиеся из Общества (бывшие работники);
-
физические лица, подавшие резюме на соискание вакантной должности/профессии в Обществе;
-
физические лица, состоящие с Обществом в гражданско-правовых отношениях;
-
физические лица, являющиеся представителями/работниками контрагентов, и других физических и юридических лиц, имеющих договорные отношения с Обществом;
-
физические лица, направленные в Общество в служебную командировку;
-
физические лица, обратившиеся за получением квалифицированного сертификата;
-
физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством Российской Федерации;
-
иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка персональных данных которых необходима Обществу для достижения целей обработки, предусмотренных настоящей Политикой.
-
-
Персональные данные, обрабатываемые Обществом:
-
Персональные данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 Трудового кодекса РФ, а также персональные данные, получаемые и создаваемые Обществом в период осуществления работником трудовой деятельности (фамилия, имя, отчество, адрес регистрации и адрес фактического проживания, номер контактного телефона, адрес электронной почты, паспортные данные, идентификационный номер налогоплательщика, сведения о страховом свидетельстве государственного пенсионного страхования, сведения о гражданстве, адрес и дата регистрации по месту жительства, патент (разрешение на работу), миграционная карта, вид на жительство, сведения об образовании, сведения документа о повышении квалификации, переподготовке, семейное положение, состав семьи, сведения о судимости, основания для получения льгот, стаж, информация о состоянии здоровья (инвалидности), военно-учетные данные и др.);
-
Персональные данные, которые предоставляет работник на своих близких родственников для предоставления гарантий, льгот, компенсаций, предусмотренных локальными нормативными правовыми актами Общества (фамилия, имя, отчество, дата и год рождения, место регистрации, паспортные данные, семейное положение, сведения о трудовой деятельности, сведения об образовании, состав семью, информация о состоянии здоровья (инвалидности) и др.)
-
Персональные данные, полученные от соискателя вакантной должности/профессии путём направления резюме (фамилия, имя, отчество, дата и год рождения, место регистрации, паспортные данные, семейное положение, сведения о судимости, сведения о трудовой деятельности, сведения об образовании, сведения документа о повышении квалификации, переподготовке, состав семьи, сведения о судимости, стаж, информация о состоянии здоровья (инвалидности), военно-учетные данные и др.).
-
Персональные данные, полученные при заключении гражданско-правовых договоров (фамилия, имя, отчество, адрес регистрации и адрес фактического проживания, номер контактного телефона, паспортные данные, идентификационный номер налогоплательщика, сведения о страховом свидетельстве государственного пенсионного страхования и др.).
-
Персональные данные, полученные от физического лица, являющегося представителем контрагентов и других физических и юридических лиц, имеющих договорные отношения с Обществом (фамилия, имя, отчество, дата рождения, адрес проживания, паспортные данные, должность, номер контактного телефона, адрес электронной почты и др.);
-
Персональные данные, полученные от физического лица, обратившегося за получением квалифицированного сертификата (фамилия, имя, отчество владельца квалифицированного сертификата, дата рождения, реквизиты документа, удостоверяющего личность, страховой номер индивидуального лицевого счета и идентификационный номер налогоплательщика владельца квалифицированного сертификата, адрес проживания, номер контактного телефона, адрес электронной почты и др.);
-
Иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.
-
-
-
Порядок и условия обработки, и хранение персональных данных
-
Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
-
Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
-
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
-
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
-
непосредственно;
-
с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
-
-
Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
-
К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
-
Обработка персональных данных осуществляется путем:
-
получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
-
внесения персональных данных в журналы, реестры и информационные системы Оператора;
-
использования иных способов обработки персональных данных.
-
-
Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
-
Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
-
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
-
определяет угрозы безопасности персональных данных при их обработке;
-
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
-
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
-
создает необходимые условия для работы с персональными данными;
-
организует учет документов, содержащих персональные данные;
-
организует работу с информационными системами, в которых обрабатываются персональные данные;
-
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
-
организует обучение работников Оператора, осуществляющих обработку персональных данных.
-
-
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
-
При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
-
Хранение персональных данных.
-
Персональные данные Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
-
Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
-
Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
-
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
-
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
-
-
Уничтожение персональных данных.
-
Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
-
Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
-
Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
-
-
-
Защита персональных данных
-
В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
-
Подсистема правовой защиты представляет собой комплекс правовых, организационно - распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
-
Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
-
Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
-
Основными мерами защиты персональных данных, используемыми Оператором, являются:
-
Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
-
Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.
-
Разработка политики в отношении обработки персональных данных.
-
Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
-
Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
-
Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
-
Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
-
Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
-
Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
-
Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
-
Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
-
Осуществление внутреннего контроля и аудита.
-
-
-
Основные права субъекта персональных данных и обязанности оператора
-
Основные права субъекта персональных данных.
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
-
подтверждение факта обработки персональных данных Оператором;
-
правовые основания и цели обработки персональных данных;
-
цели и применяемые Оператором способы обработки персональных данных;
-
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
-
сроки обработки персональных данных, в том числе сроки их хранения;
-
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
-
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
-
обращение к Оператору и направление ему запросов;
-
обжалование действий или бездействия Оператора.
-
-
Обязанности Оператора.
Оператор обязан:
-
при сборе персональных данных предоставить информацию об обработке персональных данных;
-
в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
-
при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
-
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
-
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
-
-
-
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
-
Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч.
7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
-
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
-
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
-
подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
-
-
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
-
В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
-
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
-
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
-
оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
-
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
-
-
-
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных граждан и работников.
-
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных гражданина и работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.
-
Работники Общества, допущенные к обработке персональных данных граждан и работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
-