Политика в отношении персональных данных

1. Общие положения.

1.1 Политика обработки персональных данных (далее - Политика) ООО "Научный Центр ЭФиС" (далее - Оператор) определяет основные принципы, цели, условия и способы обработки (сбора, хранения, передачи, уничтожения) персональных данных (далее - ПДн), перечни субъектов и обрабатываемых персональных данных, права субъектов персональных данных, а также реализуемые Оператором мероприятия по защите персональных данных.

1.2 Настоящая Политика разработана в соответствии с ч.2 ст. 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» и действует в отношении персональных данных, которые могут быть получены от субъектов персональных данных.

1.3 Политика разработана с учетом требований Конституции Российской Федерации, Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006 г., Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, и иных нормативных правовых актов Российской Федерации, регулирующих обработку персональных данных.

1.4 Положения Политики распространяются на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению доступа), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без их использования.

2. Принципы и условия обработки персональных данных.

2.1 Обработка персональных данных осуществляется на основе следующих принципов:

1. Обработка ПДн на законной и справедливой основе;
2. Ограничение обработки достижением конкретных, заранее определенных и законных целей. Недопущение обработки ПДн несовместимой с целями сбора ПДн;
3. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4. Обработка только тех Пдн, которые отвечают целям их обработки;
5. Соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Ограничение избыточности ПДн по отношению к заявленным целям обработки;
6. Обеспечение точности ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
7. Обеспечение хранения ПДн в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения Пдн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
8. Проведение уничтожения либо обезличивания ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

2.2 Обработка персональных данные осуществляется только при наличии хотя бы одного из следующих условий:

1. обработка осуществляется с согласия Субъекта на обработку его персональных данных;
2. обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5. обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
6. осуществляется обработка персональных данных, подлежащих обязательному раскрытию в соответствии с федеральным законом.

3. Цели обработки персональных данных.

1. Организация и осуществление комплекса мероприятий, направленных на исполнение обязательств, в том числе контроля качества выполняемой работы, Оператора по договору стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договора, заключенного по инициативе и/или в интересах Субъекта персональных данных, или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
2. Обеспечение личной безопасности сотрудников Оператора, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Оператора, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Оператора;
3. Взаимодействие с Работниками Оператора, контрагентами, клиентами;
4. Кадровое обеспечение деятельности Оператора;
5. Обеспечение доступа посетителей на территорию расположения Оператора;
6. Предоставление Субъекту ПДн информацию об оказываемых Оператором услугах;
7. Продвижение услуг Оператора путем осуществления прямых контактов с Субъектом ПДн как с потенциальным потребителем с помощью средств связи;
8. Обеспечение коммуникации сотрудников Оператора;
9. Выполнение требований законодательных актов, нормативных документов.

4. Субъекты и состав обрабатываемых персональных данных.

4.1. Субъекты персональных данных:

1. Контрагенты;
2. Пациенты/клиенты;
3. Работники Оператора;
4. Соискатели, претендующие на вакантную должность Оператора;
5. Учредители Оператора.

4.2. В состав персональных данных входят:

4.2.1. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации, с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

4.2.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений Оператором не осуществляется.

5. Обработка персональных данных.

5.1 Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн осуществляется при условии наличия согласия Субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством, данного согласия не требуется.

5.2 Оператор и его сотрудники при обработке ПДн, в случаях, при которых требуется письменное согласие Субъекта ПДн, обязаны получить Согласие на обработку ПДн в письменном виде. Согласие на обработку Пдн может быть отозвано Субъектом ПДн по письменному запросу на имя Генерального директора Оператора.

5.3 Обработка ПДн осуществляется как с использованием автоматизированных информационных систем, так и без использования средств автоматизации. ПДн Субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.

5.4 Обработка ПДн в информационной системе Оператора осуществляется уполномоченными работниками Оператора, имеющими персональный защищенный доступ в систему, в соответствии с его индивидуальной учетной записью, определяющей его права и полномочия в информационной системе Оператора. Информация об учетной записи не может быть передана третьим лицам. Работники Оператора несут персональную ответственность за конфиденциальность собственной учетной записи. Демонстрация и/или передача ПДн лицам не имеющим к ним доступа запрещена.

5.5 ПДн являются конфиденциальной информацией и не могут быть использованы Оператором или любым иным лицом в каких либо целях, кроме указанных в разделе 3 Политики.

5.6 Передача ПДн третьим лицам допускается только в целях обеспечения исполнения обязательств Оператора перед Субъектом ПДн по Договору, а также выполнения требований нормативных правовых актов Российской Федерации;

5.7 Оператор вправе поручить обработку ПДн другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ "О персональных данных". В случае, если Оператор поручает обработку ПДн третьему лицу, ответственность перед Субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

5.8 Трансграничная передача ПДн Оператором не осуществляется.

5.9 Оператор обязуется хранить ПДн в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. В случае отзыва Субъектом ПДн согласия на обработку своих ПДн Оператор прекращает их обработку в течение 30 календарных дней, если иное не предусмотрено соглашением Оператора и Субъекта ПДн. При этом Оператор оставляет за собой право на обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных действующим законодательством Российской Федерации.

6. Права Субъекта персональных данных.

6.1 Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку добровольно;

6.2 Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1. подтверждение факта обработки ПДн Оператором;
2. правовые основания и цели обработки ПДн;
3. цели и применяемые Оператором способы обработки ПДн;
4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
5. обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения;
6. сроки обработки ПДн, в том числе сроки их хранения;
7. порядок осуществления Субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
8. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Соответствующая информация предоставляется Субъекту ПДн на основании письменного запроса Субъекта ПДн на имя Генерального директора Оператора.

7. Обеспечение безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

7.2. Для целенаправленного создания Оператором неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Оператором применяются следующие организационно-технические меры:

1. назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
2. ограничение и регламентация состава работников, имеющих доступ к персональным данным;
3. ознакомление работников с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;
4. обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
5. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
6. разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
7. поддержание готовности и эффективности использования средств защиты информации;
8. реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
9. регистрация и учёт действий пользователей информационных систем персональных данных;
10. парольная защита доступа пользователей к информационной системе персональных данных;
11. применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
12. осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
13. применение межсетевого экранирования;
14. обнаружение вторжений в корпоративную сеть Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
15. централизованное управление системой защиты персональных данных.
16. резервное копирование информации;
17. обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
18. обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
19. учёт применяемых средств защиты информации;
20. проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
21. размещение технических средств обработки персональных данных, в пределах охраняемой территории;
22. поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

8. Заключительные положения

Иные права и обязанности Оператора по обработке персональных данных, определяются законодательством Российской Федерации в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.