1. Общие положения
1.1. Настоящая Политика определяет цели, задачи, порядок, условия обработки и основные мероприятия по обеспечению безопасности персональных данных Закрытого акционерного общества «ФОСФОХИМ» (далее по тексту — Общество), а также содержит сведения о реализуемых Обществом требованиях к защите персональных данных.
1.2. Политика разработана в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных, в том числе в соответствии с положениями Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных».
1.3. Политика является основой для разработки локальных нормативных актов Общества по обеспечению безопасности персональных данных.
1.4. Настоящая политика распространяется на сотрудников Общества, лиц, работающих по договору подряда, на сотрудников сторонних организаций, взаимодействующих с Обществом на основании соответствующих нормативных, правовых и организационно-распорядительных документов, а также на физических лиц, находящихся в гражданско-правовых отношениях с Обществом.
1.5. Политика действует бессрочно после утверждения и до ее замены новой версией.
1.6. Настоящая Политика размещается на общедоступном ресурсе – на сайте Общества в сети Интернет.
2. Термины и определения
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных – персональные данные, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
В Политике используются иные термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006г. №152-ФЗ «О персональных данных».
3. Основные права субъекта персональных данных и обязанности Общества.
3.1. Основные права субъекта персональных данных:
3.1.1 Субъект персональных данных имеет право требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Обществом;
2) правовые основания и цели обработки персональных данных;
3) применяемые Обществом способы обработки персональных данных;
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством о персональных данных;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
3.2. Обязанности Общества:
- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- по требованию субъекта персональных данных прекратить обработку его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными законодательными актами Российской Федерации;
- в случаях, предусмотренных законодательством Российской Федерации, опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
4. Цели и правовые основания обработки персональных данных
4.1. Общество вправе осуществлять обработку персональных данных в целях:
- осуществления мероприятий по привлечению и отбору кандидатов на работу в Обществе;
- ведения кадровой работы и организации учета работников Общества;
- заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;
- реализации прав и выполнения обязанностей, предусмотренных законодательством Российской Федерации (случаи обязательного раскрытия информации, предоставление отчетной и иной документации в контролирующие органы и др.);
- осуществления административно-хозяйственной деятельности Общества;
- осуществления трудовых отношений;
- осуществления гражданско-правовых отношений;
- соблюдения действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.
4.2. Правовыми основаниями обработки персональных в том числе являются:
- федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества;
- уставные документы Общества;
- договоры, заключаемые между Обществом и субъектом персональных данных;
- согласие субъекта персональных данных на их обработку.
5. Категории обрабатываемых персональных данных и субъектов персональных данных
5.1. Общество вправе осуществлять обработку персональных данных следующих категорий субъектов персональных данных:
- физические лица, состоящие в трудовых и гражданско-правовых отношениях с Обществом;
- физические лица, ранее состоявшие в трудовых и гражданско-правовых отношениях с Обществом;
- физические лица, кандидаты на замещение вакантных должностей;
- физические лица – практиканты/стажеры;
- физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных;
- иные физические лица, выразившие согласие на обработку Обществом их персональных данных или физические лица, обработка персональных данных которых необходима в соответствии с законодательством Российской Федерации.
5.2. Общество вправе осуществлять обработку следующих категорий персональных данных: фамилия, имя, отчество, дата рождения, месяц рождения, год рождения, место рождения, данные документов, удостоверяющих личность, документов воинского учета, адрес (регистрации по месту жительства и фактического проживания), контактные данные (номера телефонов, адреса электронной почты), данные о месте работы и должности, данные, содержащиеся в трудовой книжке, данные об образовании, данные о семейном положении, данные об имущественном положении (включая сведения о доходах, финансовых обязательствах субъекта персональных данных), ИНН, данные страхового свидетельства государственного пенсионного фонда, реквизиты доверенности или иного документа, подтверждающие полномочия.
5.3. Общество вправе осуществлять обработку специальных категорий персональных данных в случаях, предусмотренных законодательством Российской Федерации.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных, а также без такового в случаях, предусмотренных законодательством о персональных данных, в том числе если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.1.1. Если в рамках исполнения договора контрагент передает Обществу персональные данные субъекта персональных данных, состоящего с контрагентом в трудовых или гражданско-правовых отношениях, то контрагент должен уведомить субъекта персональных данных об обработке Обществом его персональных данных и истребовать у субъекта персональных данных необходимое согласие на обработку его персональных данных Обществом. Полученное контрагентом согласие субъекта персональных данных на обработку его персональных данных Обществом предоставляется контрагентом по запросу Общества.
6.1.2. Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:
1) наименование Общества;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) источник получения персональных данных.
6.1.3. Согласие субъекта персональных данных на обработку персональных данных может быть выражено в форме совершения действий по принятию условий договора-оферты, проставления соответствующих отметок, заполнения полей в анкетах, формах, бланках.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
6.2. Обработка специальных категорий персональных данных осуществляется с согласия субъекта персональных данных на обработку своих персональных данных в письменной форме.
6.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом. Такая обработка персональных данных осуществляется на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
- цели обработки персональных данных;
- обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
6.4. Общество вправе осуществлять обработку персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ.
6.5. Обработка персональных данных прекращается при достижении целей такой обработки, а также при отзыве согласия субъекта персональных данных на обработку его персональных данных, при выявлении неправомерной обработки персональных данных и по истечении срока, предусмотренного законом, договором (стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных), или согласием субъекта персональных данных на обработку его персональных данных.
6.6. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.7. Общество обеспечивает конфиденциальность персональных данных субъекта персональных данных со своей стороны, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.
6.8. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством в области защиты персональных данных. Если иное не установлено законодательством Российской Федерации, Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом.
6.9. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7. Хранение персональных данных
7.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
7.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.
7.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
7.4. При осуществлении хранения персональных данных Общество обязано использовать базы данных, находящиеся на территории Российской Федерации.
8. Актуализация, уточнение и уничтожение персональных данных
8.1. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неполных персональных данных производится их актуализация.
8.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов производит уточнение персональных данных.
8.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
8.4. Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
8.5. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
9. Сведения о реализуемых требованиях к защите персональных данных.
9.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Реализация требований к защите персональных данных в Обществе осуществляется в соответствии с Постановлениями Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
9.3. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
9.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется Обществом в соответствии с законодательством Российской Федерации.
9.5. Основными мерами защиты персональных данных, используемыми Обществом, являются:
9.5.1 Назначение лица, ответственного за обработку персональных данных, обучение и инструктаж, внутренний контроль, за соблюдением Обществом и его работниками требований к защите персональных данных;
9.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных, и разработка мер и мероприятий по защите персональных данных;
9.5.3. Разработка локальных нормативных актов в отношении обработки персональных данных;
9.5.4. Установление индивидуальных паролей доступа сотрудников в информационные системы в соответствии с их трудовыми обязанностями;
9.5.5. Использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
9.5.6. Использование сертифицированных программных средств защиты информации от несанкционированного доступа;
9.5.7. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.