1. Назначение
Настоящий документ определяет политику ООО «СатСервис» (далее – Общество) в отношении обработки персональных данных.
Настоящая политика Общества в отношении организации обработки и обеспечения безопасности характеризуется следующими признаками:
– Разработана в целях реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных субъектов.
– Раскрывает способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке.
– Является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке и защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
2. Термины и определения
Абонент – пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество — общество с ограниченной ответственностью «СатСервис» (ООО «СатСервис»).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Посетитель – лицо, не являющееся работником Общества, но временно находящееся на его территории.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «СатСервис».
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Нормативные ссылки
Основанием для разработки данного локального нормативного акта являются:
– Конституция Российской Федерации от 12.12.1993;
– Политика обработки персональных данных в ООО «СатСервис»
– Трудовой кодекс Российской Федерации от 30.12.2001 No 197-ФЗ;
– Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 No 152-ФЗ;
– Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 No 149-ФЗ;
– Указ Президента Российской Федерации от 06.03.1997 No 188 «Об утверждении Перечня сведений конфиденциального характера»;
– Постановление Правительства Российской Федерации от 06.07.2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– Постановление Правительства No538 от 27.08.2005г. «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»
– Постановление Правительства Российской Федерации от 01.11.2012 No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства Российской Федерации от 15.09.2008 No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановление Правительства РФ от 09.12.2014 N 1342 «О порядке оказания услуг телефонной связи»;
– Приказ ФСТЭК России от 18.02.2013 No 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Правила оказания услуг связи ООО «СатСервис»;
– Положение об обработке и защите персональных данных работников ООО «СатСервис».
4. Сведения об Обществе
ООО «СатСервис» является Оператором персональных данных, зарегистрированным в Реестре операторов, осуществляющих обработку персональных данных, федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Место нахождения: 171255, Тверская область, г. Конаково, ул. Набережная Волги, д. 38А, офис 2
Контактный телефон: +7 (48242) 2-40-09.
5. Категории Субъектов персональных данных
В Обществе осуществляется обработка персональных данных следующих категорий Субъектов:
– Работников Общества;
– Кандидатов на вакантные должности;
– Уволенных работников;
– Родственников работников;
– Абонентов и лиц, желающих заключить договор на услуги связи с Обществом (потенциальных абонентов);
– Участников Общества;
– Лиц, с которыми заключены договоры гражданско-правового характера;
– Представителей контрагентов Общества, включая контактных лиц контрагентов;
– Представителей субъектов персональных данных, уполномоченных на представление их интересов.
6. Цели обработки персональных данных
Персональные данные в ООО «СатСервис» обрабатываются в целях:
– Персональные данные работников Общества – в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения соблюдения законодательства Российской Федерации, содействия в трудоустройстве, обучении и продвижении работников по службе, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, обеспечения соблюдения пропускного и объектового режима в помещениях
Общества.
– Персональные данные кандидатов на вакантные должности – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств, обеспечения соблюдения пропускного и объектового режима в помещениях Общества.
– Персональные данные уволенных работников – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Общества, обеспечения соблюдения пропускного и объектового режима в помещениях Общества.
– Персональные данные родственников работников – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, предоставления гарантий и компенсаций работникам Общества, установленных действующим законодательством и локальными нормативными актами Общества;
– Персональные данные абонентов – в целях исполнения договоров об оказании услуг связи, заключенных между Обществом и абонентом.
– Персональные данные лиц, желающих заключить договор на услуги связи с Обществом (потенциальных абонентов), – в целях заключения договора об оказании услуг связи между Обществом и потенциальным абонентом.
– Персональные данные участников Общества – в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, соблюдения прав и законных интересов участников Общества, обязательного раскрытия информации, осуществления выплат дивидендов участникам.
– Персональные данные представителей контрагентов Общества, включая контактных лиц контрагентов, – в целях исполнения заключенных договоров.
– Персональные данные представителей субъектов персональных данных – в целях обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Обществом.
7. Принципы обработки персональных данных
Обработка персональных данных осуществляется на законной и справедливой основе.
Общество получает персональные данные непосредственно от субъектов персональных данных.
Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Обработка персональных данных осуществляется как автоматизированная, так и без использования средств автоматизации.
Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих
целей, если иное не предусмотрено федеральным законом.
8. Права Субъектов персональных данных
Субъекты, персональные данные которых обрабатываются в Обществе, имеют право получить информацию относительно персональных данных, обрабатываемых Обществом, в объеме, предусмотренном ФЗ РФ «О персональных данных», а так же:
– Получать полную информацию о своих персональных данных.
– Иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные Субъекта.
Сведения о наличии персональных данных должны быть предоставлены Субъекту персональных данных в доступной форме, и они не должны содержать персональные данные, относящиеся к другим Субъектам персональных данных.
Доступ к своим персональным данным предоставляется Субъекту персональных данных или его представителю Обществом при личном обращении, либо при получении запроса.
– Получать сведения об Обществе, о месте его нахождения, о наличии у Общества сведений о персональных данных, относящихся к соответствующему Субъекту персональных данных.
– Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
– Требовать извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.
– Обжаловать в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его персональных данных.
9. Обработка персональных данных работников ООО «СатСервис»
Общество обрабатывает персональные данные работников Общества в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001г. No 197-ФЗ (далее – ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.
Общество обрабатывает персональные данные работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, а также с целью:
– ведения кадрового учёта;
– ведения бухгалтерского учёта;
– осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
– соблюдение норм и требований по охране труда и обеспечения личной безопасности работников Общества, сохранности имущества;
– контроля за количеством и качеством выполняемой работы;
– предоставления льгот и компенсаций, предусмотренные законодательством РФ;
– открытия личных банковских счетов работников Общества для перечисления заработной платы;
– организации обучения работников Общества.
Общество защищает персональные данные работников за счет собственных средств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.
Общество разрешает доступ к персональным данным работников только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций.
Общество получает все персональные данные работников у них самих. Если данные работника, возможно, получить только у третьей стороны, Общество заранее уведомляет об этом работника и получает его письменное согласие. Общество сообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.
Общество обрабатывает персональные данные работников с их письменного согласия, предоставляемого на срок действия трудового договора.
Общество может обрабатывать специальные категории персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».
Общество не обрабатывает биометрические персональные данные работников.
10. Конфиденциальность персональных данных
Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством.
11. Срок обработки персональных данных
Срок обработки персональных данных, обрабатываемых в Обществе, определяется организационно-распорядительными документами Общества в соответствии с положениями ФЗ РФ «О персональных данных».
Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, приказом Минкультуры РФ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами Общества.
Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
12. Передача персональных данных
Общество в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
13. Обеспечение безопасности персональных данных
ООО «СатСервис» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
Персональные данные, полученные ООО «СатСервис» в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом.
14. Сведения о реализуемых требованиях к защите персональных данных
В ООО «СатСервис» реализуются следующие требования законодательства в области персональных данных:
– требования о соблюдении конфиденциальности персональных данных;
– требования об обеспечении реализации Субъектом персональных данных своих прав;
– требования об обеспечении точности персональных данных, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (с принятием (обеспечением принятия) мер по удалению/уничтожению или уточнению неполных или неточных данных);
– требования к защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– иные требования законодательства.
В соответствии с Федеральным законом Российской Федерации от 27 июля 2006г. No152-ФЗ «О персональных данных» ООО «СатСервис» самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных.
В частности, защита персональных данных достигается путем:
– назначения ответственного за обработку и защиту персональных данных;
– издания настоящей Политики;
– издание локальных нормативных актов по вопросам обработки персональных данных;
– ознакомления работников, допущенных к обработке персональных данных Субъектов персональных данных, с требованиями, установленными законодательством Российской Федерации в области персональных данных, настоящей Политикой, а также локальными нормативными актами ООО «СатСервис»;
– организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения персональных данных в информационных системах);
– организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения/обезличивания персональных данных, обрабатываемых без средств автоматизации);
– организации доступа работников к информации, содержащей персональные данные Субъектов персональных данных, в соответствии с их должностными (функциональными) обязанностями;
– осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
15. Уничтожение (обезличивание) персональных данных
Уничтожение (обезличивание) персональных данных Субъекта производится в следующих случаях:
– по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных либо если Общество не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами РФ;
– в случае выявления неправомерной обработки персональных данных Обществом в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных;
– в случае отзыва Субъектом персональных данных согласия на Обработку его персональных данных, если сохранение персональных данных более не требуется для целей Обработки персональных данных, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных данных либо если Общество не вправе осуществлять Обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами РФ;
– в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством РФ и организационно-распорядительными документами Общества;
– в случае предписания уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры России или решения суда.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных и при необходимости уничтожения или блокирования части персональных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
16. Ответственность за нарушение норм, регулирующих обработку персональных данных
Общество и/или Работники Общества, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
17. Заключительные положения
Настоящая Политика, является общедоступной и подлежит размещению на информационных стендах офисов Общества и на сайте www.gigalink.su/_konakovo/
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.