Политика обработки и защиты персональных данных
ООО «Компания Балтламинат»
-
Определения и сокращения , используемые в Политике
-
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных).
-
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств информатизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
-
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
-
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
-
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
-
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
-
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
-
Информация – сведения (сообщения, данные) независимо от формы их представления.
-
Общие положения
-
Настоящий документ определяет политику общества с ограниченной ответственностью «Компания Балтламинат» (далее – Оператор) в отношении обработки и защиты персональных данных.
-
Политика обработки и защиты персональных данных Оператора (далее - Политика) определяет:
-
правовые основы обеспечения безопасности ПДн;
-
принципы и цели обработки ПДн;
-
перечни субъектов ПДн и обрабатываемых ПДн;
-
операции, совершаемые с ПДн, и сроки их обработки;
-
права и обязанности субъектов и работников Оператора при обработке ПДн;
-
меры, принимаемые Оператором для защиты ПДн;
-
контроль и надзор за обработкой ПДн.
-
Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
-
Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
-
Политика действует в отношении всех персональных данных, обрабатываемых Оператора, полученных как до, так и после подписания настоящей Политики.
-
Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств.
-
Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на должностных лиц, принимающих участие в указанных процессах.
-
Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.
-
Правовые основы обработки персональных данных
-
Правовыми основами обработки Оператором персональных данных являются:
-
Конституция Российской Федерации;
-
Трудовой кодекс Российской Федерации;
-
Гражданский кодекс Российской Федерации;
-
Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;
-
Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
-
Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;
-
Постановление Госкомстата Российской Федерации «Об утверждении унифицированных форм первичной учетной документации по учету труда и оплаты» №1 от 05.01.2004 г.;
-
Устав Оператора;
-
Договор между Оператором и субъектом ПДн;
-
Согласие субъекта ПДн на обработку его персональных данных.
-
Персональные данные, обрабатываемые Оператором
-
Оператор обрабатываются ПДн следующих категорий субъектов:
-
Работники (в том числе близкие родственники работников);
-
Уволенные работники.
-
Кандидаты на вакантную должность.
-
Клиенты.
-
Контрагенты.
-
Перечень ПДн работников(в том числе близких родственников работников), уволенных работников, кандидатов на вакантную должность, обрабатываемых Оператором:
-
фамилия, имя, отчество;
-
дата рождения и место рождения;
-
паспортные данные (серия, номер, когда и кем выдан);
-
адрес постоянной регистрации и проживания;
-
гражданство;
-
пол;
-
номер контактного телефона;
-
семейное положение;
-
сведения из свидетельства о постановке на налоговый учет (ИНН);
-
сведения из свидетельства о государственном пенсионном страховании (страховой номер);
-
сведения о воинском учёте;
-
сведения об образовании, о повышении квалификации, профессиональной переподготовке, стажировке;
-
сведения о начислениях по заработной плате;
-
должность;
-
данные о трудовом стаже, включая предыдущие места работы;
-
данные о налоговых вычетах;
-
номер банковского лицевого счета, наименование банка;
-
состав семьи: степень родства, ФИО, дата рождения;
-
результаты медицинских обследований;
-
данные из приказов по личному составу;
-
сведения из резюме, анкеты, характеристики и иных документов (для кандидатов на вакантную должность);
-
сведения из иных документов, содержащих сведения, предназначенные для использования в служебных целях.
-
Перечень ПДн контрагентов, обрабатываемых Оператором:
-
фамилия, имя, отчество;
-
дата рождения и место рождения;
-
паспортные данные (серия, номер, когда и кем выдан);
-
адрес постоянной регистрации и проживания;
-
гражданство;
-
пол;
-
номер контактного телефона;
-
семейное положение;
-
сведения из свидетельства о постановке на налоговый учет (ИНН);
-
сведения из свидетельства о государственном пенсионном страховании (страховой номер);
-
сведения о воинском учёте;
-
сведения об образовании, о повышении квалификации, профессиональной переподготовке, стажировке;
-
сведения о начислениях по заработной плате;
-
должность;
-
данные о трудовом стаже, включая предыдущие места работы;
-
данные о налоговых вычетах;
-
номер банковского лицевого счета, наименование банка;
-
состав семьи: степень родства, ФИО, дата рождения;
-
результаты медицинских обследований;
-
данные из приказов по личному составу;
-
сведения из резюме, анкеты, характеристики и иных документов (для кандидатов на вакантную должность);
-
адрес электронной почты.
-
Перечень ПДн клиентов, обрабатываемых Оператором:
-
фамилия, имя, отчество;
-
дата рождения;
-
адрес;
-
адрес электронной почты;
-
номер контактного телефона.
-
Операции, совершаемые с персональными данными.
Сроки обработки персональных данных
-
Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
-
Обработка ПДн осуществляется с момента их получения Оператором и прекращается:
-
по достижению целей обработки ПДн;
-
в связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;
-
в связи с отзывом согласия на обработку ПДн;
-
в связи с ликвидацией Оператора как юридического лица.
Срок обработки ПДн работников – в течение срока действия трудового договора и 50 лет после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн близких родственников работников – в течение срока действия трудового договора работника и 50 лет после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн уволенных работников – 50 лет после окончания действия трудового договора, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн кандидатов на вакантную должность – 1 год, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн контрагентов – в течение срока оказания услуг, предусмотренных договором между Оператором и контрагентом, и 3 года после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн клиентов –3 года, если не установлен иной срок хранения в соответствии с действующим законодательством.
-
Цели и принципы обработки ПДн
-
Целями обработки ПДн Оператором являются:
-
обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
-
оказание услуг, предусмотренных договором между Оператором и контрагентом;
-
оказание услуг по сбору и доставке товаров, выдача дисконтных карт.
-
Обработка ПДн осуществляется на основе следующих принципов:
-
обработка ПДн осуществляется на законной основе;
-
обработка ПДн ограничивается достижением конкретных, заранее определенных целей;
-
не допускается обработка ПДн, несовместимая с целями сбора ПДн;
-
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
-
обработке подлежат только ПДн, которые отвечают целям их обработки;
-
содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки;
-
при обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
-
Права и обязанности субъекта персональных данных
-
В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн.
-
Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных.
-
Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
-
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
-
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.
Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях.
-
Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
-
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
-
Конфиденциальность персональных данных
-
Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
-
Получение и передача персональных данных третьим лицам
-
Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПДн в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн - в случаях, предусмотренных федеральным законодательством.
-
Общедоступные источники персональных данных
-
В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПДн – работников Оператором., в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться персональные данные работника.
-
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.
-
Поручение обработки персональных данных другому лицу
-
Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой.
-
Права и обязанности работников Оператора, уполномоченных на обработку персональных данных
-
Работники Оператора, уполномоченные на обработку ПДн обязаны:
-
знать и выполнять требования законодательства в области обеспечения защиты ПДн;
-
хранить в тайне известные им ПДн, информировать о фактах нарушения порядка обращения с ПДн, о попытках несанкционированного доступа к ним;
-
соблюдать правила использования ПДн, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
-
обрабатывать только те ПДн, к которым получен доступ в силу исполнения служебных обязанностей.
-
При обработке ПДн работникам Оператора запрещается:
-
использовать сведения, содержащие ПДн, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
-
передавать ПДн по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
-
Работники Оператора, уполномоченные на обработку ПДн, имеют право:
-
предоставлять ПДн третьим лицам при наличии согласия на это субъекта ПДн, а также в других случаях, предусмотренных действующим законодательством;
-
мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством РФ.
-
Меры, принимаемые для защиты персональных данных
-
Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их.
-
Обеспечение безопасности ПДн достигается, в частности, следующими способами:
-
Назначение ответственного за организацию обработки ПДн.
-
Осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
-
Ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн.
-
Определение угроз безопасности ПДн при их обработке в ИСПДн.
-
Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.
-
Ведение учета машинных носителей ПДн.
-
Выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер.
-
Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
-
Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
-
Контроль принимаемых мер по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
-
Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
-
Контроль и надзор обработки персональных данных
-
Обязанности должностных лиц, осуществляющих контроль обработки и защиту ПДн, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПДн, в Инструкции администратора информационной безопасности персональных данных в информационных системах персональных данных.
-
Ответственный за организацию обработки ПДн назначается приказом руководителя из числа лиц, допущенных к обработке ПДн.
-
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от
27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). -
Уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение.
-
Управление Роскомнадзора по Калининградской области:
Адрес: 236022, Российская Федерация, г. Калининград, ул. Коммунальная, дом 4.
Телефон для справок: (4012) 99-40-23
Факс: (4012) 99-40-24
E-mail: rsockanc39@rkn.gov.ru
Сайт: http://39.rkn.gov.ru
-
Работники Оператор, уполномоченные на обработку ПДн, виновные в нарушении требований законодательства в области защиты ПДн, в том числе допустившие разглашение ПДн, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
-
Информация об организации, осуществляющей обработку персональных данных
Наименование организации: Общество с ограниченной ответственностью «Компания Балтламинат».
Адрес места регистрации (адрес местонахождения): 236023, город Калининград, проспект Советский, дом 125.
-
Заключительные положения
-
Настоящая Политика утверждена приказом Оператора.
-
Настоящая Политика обязательна для ознакомления и соблюдения всеми сотрудниками Оператор, осуществляющими обработку ПДн.
-
Срок действия Политики – не ограничен.
-
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики.
-
Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПДн, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.
-
Контроль соблюдения Политики осуществляется руководителем Оператора.