Top.Mail.Ru
 
 

Политика в отношении обработки персональных данных


Содержание

1 Назначение и область применения

2 Термины и определения

3 Принципы обработки персональных данных

4 Условия и цели обработки

5 Обработка персональных данных

6 Порядок, сроки хранения и требования к уничтожению персональных данных

7 Права и обязанности

8 Меры в области обработки и защиты персональных данных

9 Гарантии соблюдения прав субъектов персональных данных

10 Заключительные положения


1 Назначение и область применения

1.1 Настоящая Политика в отношении обработки персональных данных АО «ОДК-Климов» (далее – Политика) устанавливает совокупность правил, требований и основных принципов обработки персональных данных в информационных системах АО «ОДК-Климов» (Далее – Организация).

1.2 Настоящая Политика разработана с целью обеспечения защиты прав работников Организации и иных физических лиц при обработке их персональных данных Организацией в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

1.3 Задачи для достижения целей:

– защита прав работников Организации и иных физических лиц при обработке их персональных данных Организацией;

– соответствие требованиям законодательства Российской Федерации в сфере обработки персональных данных.

1.4 Требования настоящей Политики распространяются на деятельность всех подразделений Организации, а также должны соблюдаться в отношениях Организации с другими юридическими (физическими) лицами, взаимодействующими с Организацией в качестве поставщиков и потребителей информационных ресурсов Организации в том или ином качестве.

1.5 Настоящая Политика является основой для разработки соответствующих внутренних нормативных документов Организации.

1.6 Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации.


2 Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (в том числе работнику Организации, субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации или предоставление доступа к персональным данным каким-либо иным образом.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных (в том числе работник Организации).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.


3 Принципы обработки персональных данных

3.1 Организация принимает и обеспечивает выполнение следующих принципов обработки персональных данных:

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Организация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию после достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.


4 Условия и цели обработки

4.1 В Организации определен перечень обрабатываемой информации ограниченного доступа в информационной системе персональных данных Организации, цели и условия обработки персональных данных.

4.2 Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4.3 Обработка персональных данных Организацией допускается в следующих случаях:

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных необходима для осуществления статистических или иных исследовательских целей, за исключением целей, при условии обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации;

- если доступ к персональным данным предоставлен неограниченному кругу лиц с согласия субъекта персональных данных, либо на которые в соответствии с федеральным законодательством не распространяются требования конфиденциальности (общедоступные персональные данные);

- если персональные данные, подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.


5 Обработка персональных данных

5.1 При обработке персональных данных Организация совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу

(распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение, за исключением случав, когда более узкий состав действий с персональными данными определен поручением оператора персональных данных, по поручению которого действует Организация, либо вытекает из условия обработки персональных данных.

5.2 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением данных о состоянии здоровья работников, предусмотренных Трудовым

кодексом Российской Федерации), интимной жизни, частной жизни, о членстве субъекта персональных данных в общественных объединениях или их профсоюзной деятельности, не осуществляется.

5.3 Для некоторых категорий персональных данных, обрабатываемых Организацией, допускается трансграничная передача. При этом Организация выполняет требования к такой передаче, определенные законодательством Российской Федерации.

5.4 Организация не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

5.5 Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, может осуществляться в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных либо в рамках исполнения договора, стороной которого является субъект персональных данных.

6 Порядок, сроки хранения и требования к уничтожению персональных данных

6.1 Сроки хранения персональных данных в Организации определены законодательством Российской Федерации и зависят от состава обрабатываемых данных.

6.2 Персональные данные, обрабатываемые Организацией, подлежат уничтожению в следующих случаях:

- при достижении целей обработки или в случае утраты необходимости в их достижении;

- при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

- при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;

- по истечении определенных сроков хранения персональных данных.


7 Права и обязанности

7.1 Права и обязанности Организации.

7.1.1 Организация, как оператор персональных данных, имеет право:

- отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.

7.1.2 Организация, как оператор персональных данных, обязано:

- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

- по требованию субъекта персональных данных прекратить обработку его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и иными законодательными актами Российской Федерации.

7.2 Права и обязанности субъекта персональных данных.

7.2.1 Субъект/представитель субъекта персональных данных имеет право:

- требовать уточнения/исправления своих персональных данных (субъекта персональных данных), их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (прав субъекта персональных данных);

- требовать предоставления перечня своих персональных данных (субъекта персональных данных), обрабатываемых Организацией, и информации об источнике их получения, если иное не предусмотрено законодательством Российской Федерации;

- получать информацию о сроках обработки своих персональных данных (субъекта персональных данных), в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные/неточные/неактуальные его персональные данные (субъекта персональных данных), обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Организации при обработке его персональных данных (субъекта персональных данных);

- на защиту своих прав (субъекта персональных данных) и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

- отозвать согласие на обработку своих персональных данных (субъекта персональных данных), за исключением случаев, предусмотренных законодательством Российской Федерации.

7.2.2 Субъект/представитель субъекта персональных данных обязан своевременно предоставлять Организации сведения об изменении своих персональных данных (субъекта персональных данных), если такая обязанность предусмотрена договором между субъектом персональных данных и Организацией, законодательством или внутренними нормативными документами Организации.

7.3 Организация и субъект персональных данных вправе воспользоваться своими правами, не указанными в настоящей Политике, но предоставленными им законом либо договором.


8 Меры в области обработки и защиты персональных данных

8.1 Исполнительный директор Организации несет ответственность за общую организацию обработки персональных данных в Организации. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в структурных

подразделениях Организации возлагается на руководителей структурных подразделений. Контроль за организацией режима конфиденциальности персональных данных в структурных подразделениях Организации осуществляют работники отдела информационной безопасности.

8.2 Организация принимает следующие меры, направленные на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных:

8.2.1 Назначение ответственных за обеспечение безопасности персональных данных.

8.2.2 Определение требований по вопросам обработки и обеспечения безопасности персональных данных, а также процедур, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

8.2.3 Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

- внедрение средств обнаружения фактов несанкционированного доступа к персональным данным и применение мер по каждому инциденту;

- реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Организации, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

- проведение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.2.4 Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в информационных системах, а также контроль соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, настоящей

Политикой, локальными нормативными актами Организации.

8.2.5 Проведение оценки вреда, который может быть причинен субъектам персональных данных.

8.2.6 Ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, внутренними нормативными

документами, определяющими политику Организации по вопросам обработки персональных данных.


9 Гарантии соблюдения прав субъектов персональных данных

9.1 Организация обеспечивает соблюдение прав субъекта персональных данных, определенных Федеральным законом № 152-ФЗ, а именно:

9.1.1 Право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

9.1.2 Право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Организацией;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Организацией способы обработки персональных данных;

- наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом № 152-ФЗ.

9.1.3 Права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке.

9.1.4 Права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки его персональных данных.

9.1.5 Другие права, предусмотренные иными законодательными актами и специальными нормативными документами по обработке и защите персональных данных.

9.2 Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос в адрес Организации в соответствии с Федеральным законом № 152-ФЗ.


10 Заключительные положения

10.1 Политика подлежит изменению, дополнению в случае издания либо внесения изменений в действующие нормативно-правовые акты Российской Федерации и локальные акты Организации.

10.2 Ответственность работников Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации.

10.3 Организация имеет право вносить изменения в Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.