Надежное партнерство

 

Политика ООО «ИПК «ПРОМЭКС-Инфо» 
в отношении обработки и защиты персональных данных
 
1. Общие положения
1.1. Политика ООО «ИПК «ПРОМЭКС-Инфо» (далее — Компания) в отношении обработки персональных данных (далее - Политика) определяет порядок и условия обработки персональных данных (далее - ПДн), а также реализацию требований по защите ПДн в Компании.
1.2. Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», иные федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности ПДн, а также руководящие документы ФСТЭК России и ФСБ России.
1.3. В настоящей Политике используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Компания осуществляет деятельность в области оказания информационно-консультационных услуг.
1.5. Обеспечение необходимого и достаточного уровня безопасности ПДн и другой конфиденциальной информации Компании является важнейшим условием ее деятельности.
 
2. Цели обработки ПДн
2.1. Компания осуществляет обработку персональных данных в целях:
- заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
- проведения Компанией акций, опросов, исследований;
- предоставления Субъекту персональных данных информации об оказываемых Компанией услугах, о разработке Компанией новых продуктов и услуг, информирования Клиента о предложениях по продуктам и услугам Компании;
- ведения кадровой работы и организации учета Работников Компании;
- привлечения и отбора Кандидатов на работу в Компании;
- формирования статистической, налоговой и других видов отчетности;
- осуществления Компанией хозяйственной деятельности;
- обеспечения пропускного режима в офис Компании;
- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей.
 
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых в соответствии с которыми Компания осуществляет обработку персональных данных:
- Конституция РФ;
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ;
- Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Указ Президента Российской Федерации от 06 марта 1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- письменные согласия субъектов на обработку персональных данных;
- Положение ООО «ИПК «ПРОМЭКС-Инфо» о защите персональных данных;
- договоры, заключаемые с субъектами персональных данных.
 
4. Объем обработки ПДн
4.1. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки. Компания обрабатывает следующее ПДн, предоставленные Клиентом/Потенциальном Клиентом или Пользователем на сайте Компании и/или в мобильном приложении Компании в следующем объеме:
- фамилия, имя, отчество (при наличии), контактный телефон; электронная почта; технические данные, которые автоматически передаются устройством, с помощью которого используется сайт Компании в сети Интернет, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», также информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация.
4.2. Компания вправе обрабатывать и иные ПДн, не предусмотренные в пункте 4.1. настоящей Политики, но только в том случае если они необходимы для реализации целей деятельности Компании по заключению и исполнению договоров с субъектами ПДн или для цели соблюдения законодательства РФ.
4.3. Субъектами ПДн являются:
- работники и бывшие работники Компании, кандидаты на замещение вакантных должностей, а также родственники работников;
- участники ООО «ИПК «Промэкс-Инфо» и их родственники;
- клиенты и контрагенты Компании (физические лица);
- представители / работники клиентов и контрагентов Компании (юридических лиц).
 
5. Порядок и условия обработки персональных данных
5.1. При обработке ПДн Компания осуществляет их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение данных, содержащих ПДн.
5.2. При обработке ПДн в Компании соблюдаются следующие условия:
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки хранения документов, в том числе электронных документов, содержащих ПДн, определены федеральными законами, иными нормативными правовыми актами Российской Федерации, а также внутренними документами Компании. 
5.3. С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Компанией приняты следующие меры:
5.3.1. приняты правовые, организационные и технические меры, установленные законодательством Российской Федерации в области ПДн, по обеспечению безопасности обрабатываемых ПДн;
5.3.2. утверждены следующие внутренние документы:
- политика ООО «ИПК «ПРОМЭКС-Инфо» в отношении обработки и защиты персональных данных;
- Положение о защите персональных данных ООО «ИПК «ПРОМЭКС-Инфо»;
- форма согласия на обработку персональных данных работника;
- форма обязательства о неразглашении персональных данных работников;
5.3.3. в Компании построена система защиты ПДн с использованием специальных технических средств, таких как:
- система электронных пропусков (СКУД);
- специальное защитное программное обеспечение (антивирусные программы);
- система логинов и паролей для АРМ;
- ограничение круга лиц, имеющих доступ к ПДн;
- хранение файлов, содержащих ПДн (как в электронном виде, так и на бумажных носителях), осуществляется под строгим контролем, исключающим несанкционированный доступ к таким данным.
5.4. Объектами защиты являются:
- ПДн, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее — АРМ) и мониторах;
- ПДн, передаваемые по каналам и линиям связи;
- ПДн, хранящиеся в документированном виде на бумажных носителях;
- прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки ПДн;
- аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;
- средства защиты информации, содержащей ПДн;
- съемные (отчуждаемые) машинные носители информации - накопители на жестких магнитных дисках, Flash-накопители и т. д.
5.5. Компоненты информационных систем Компании размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.).
5.6. ПДн могут быть переданы третьим лицам исключительно с согласия субъекта ПДн. Компания вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации без предварительного согласия субъекта персональных данных.
5.7. Субъект ПДн вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных.
 
6. Заключительные положения
6.1. Компания осуществляет обработку ПДн без уведомления уполномоченного органа по защите прав субъектов ПДн на основании того, что обработка ПДн осуществляется только в следующих случаях:
1) ПДн обрабатываются в соответствии с трудовым законодательством (в отношении работников Компании и соискателей вакантных должностей);
2) ПДн получены в связи с заключением договора, стороной которого является субъект ПДн. ПДн не распространяются и не предоставляются третьим лицам без согласия субъекта ПДн, а также используются исключительно для исполнения указанного договора и заключения договора с субъектом ПДн (договорные отношения Компании);
3) ПДн включают только фамилии, имена и отчества субъектов ПДн (при составлении телефонных и иных справочников Компании, при рассмотрении и подготовке ответов на обращения, поступившие через сайт Компании в сети Интернет);
4) ПДн необходимы в целях однократного пропуска субъекта ПДн в помещения Компании, или в иных аналогичных целях (проведение мероприятий Компании).
6.2. Ответственность работников Компании, допущенных к обработке ПДн, за невыполнение обязательных требований определяется в соответствии с законодательством Российской Федерации и локальными актами Компании в области обработки и защиты ПДн.