Политика обработки персональных данных
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ НА САЙТЕ
УТВЕРЖДАЮ
ИП "Типцов Алексей Викторович"
30.06.2017г.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») ИП Типцов Алексей Викторович (далее - «ИП Типцов А.В. ») устанавливает основные принципы, цели, порядок и условия проведения работ по обработке персональных данных (далее - ПДн) субъектов ПДн с использованием средств автоматизации и без использования таких средств, а также требования ИП Типцов А.В. к защите персональных данных.
1.2. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных (далее - субъект ПДн) при обработке его ПДн, а также с целью установления мер, принимаемых ИП Типцов А.В. для обеспечения выполнения обязанностей оператора при обработке ПДн.
1.3. Данная Политика разработана в соответствии с требованиями:
- Конституции Российской Федерации;
- Трудового Кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановления Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти Российской Федерации в области персональных данных
1.4. В целях реализации положений Политики в ИП Типцов А.В. разрабатываются соответствующие локальные нормативные акты и иные внутренние документы.
1.5. Настоящая Политика вступает в силу с момента утверждения Генеральным директором ИП и действует бессрочно до замены его новой Политикой или до наступления иных случаев, предусмотренных законодательством Российской Федерации.
1.6. ИП Типцов А.В. учитывает требования настоящей Политики при разработке и утверждении любых внутренних документов ИП Типцов А.В., связанных с обработкой ПДн.
2. Основные понятия и определения
2.1. В настоящей Политике применяются следующие термины и определения в соответствии с действующим законодательством РФ, в том числе:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Информация — сведения (сообщения, данные) независимо от формы их представления.
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
3. Состав ПДн и перечень субъектов, ПДн которых обрабатываются в ИП Типцов А.В.
3.1. В ИП Типцов А.В. обрабатываются ПДн следующих категорий субъектов персональных данных:
физических лиц, состоящих (состоявших) в трудовых отношениях с ИП Типцов А.В.;
физических лиц, состоящих (состоявших) в договорных и иных гражданско-правовых отношениях с ИП Типцов А.В.;
иных физических лиц, чьи персональные данные обрабатываются ИП Типцов А.В. в соответствии с требованиями законодательства.
3.2. Перечень ПДн, обрабатываемых в ИП Типцов А.В., определяется в соответствии с законодательством Российской Федеации и локальными нормативными актами ИП Типцов А.В.с учетом целей обработки персональных данных, перечисленных в разделе 4 Политики. В ходе осуществления ИП Типцов А.В. своих функций Перечень ПДн может быть изменен.
3.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ИП Типцов А.В. не осуществляется.
4. Принципы, цели и сроки обработки ПДн
4.1. ИП Типцов А.В. осуществляет обработку ПДн в целях соблюдения законодательных и нормативных актов.
4.2. Обработка ПДн возможна только в соответствии с целями, определившими их получение.
4.3. Обработка ПДн осуществляется ИП Типцов А.В. с учетом соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных, достоверности персональных данных, их достаточности для целей обработки, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
4.4. Хранение ПДн в ИП Типцов А.В. осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.5 Сроки хранения ПДн определяются в соответствии со сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства Российской Федерации, а также сроком действии субъекта на обработку его персональных данных.
4.6. Обработка персональных данных в ИП Типцов А.В. осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ИП Типцов А.В. и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется в ИП Типцов А.В. на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ИП Типцов А.В. принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных данных;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.7. Персональные данные обрабатываются в ИП Типцов А.В. в целях:
обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ИП Типцов А.В.;
осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ИП Типцов А.В., в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
регулирования трудовых отношений с работниками ИП Типцов А.В. (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
обеспечения пропускного и внутриобъектового режимов на объектах ИП Типцов А.В.;
формирования справочных материалов для внутреннего информационного обеспечения деятельности ИП Типцов А.В.;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
осуществления прав и законных интересов ИП Типцов А.В. в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ИП Типцов А.В., или третьих лиц либо достижения общественно значимых целей.
4.8. Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности ИП Типцов А.В. и на проведение указанной обработки получено согласие субъектов Пдн.
5. Права субъктов ПДн
Субъекты ПДн имеют право на:
полную информацию об их персональных данных, обрабатываемых в ИП Типцов А.В.;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных;
принятие предусмотренных законом мер по защите своих прав;
обжалование действия или бездействия ИП Типцов А.В., осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
осуществление иных прав по отношению к своим персональным данным, предусмотренных законодательством Российской Федерации.
6. Обработка ПДн. Меры, принимаемые ИП Типцов А.В. для обеспечения выполнения обязанностей оператора при обработке ПДн
6.1. ИП Типцов А.В. при осуществлении обработки ПДн осуществляет следующие функции:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ИП Типцов А.В. в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за организацию обработки персональных данных в ИП Типцов А.В.;
издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в ИП Типцов А.В.;
осуществляет ознакомление работников ИП Типцов А.В., непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов ИП Типцов А.В. в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Меры, необходимые и достаточные для обеспечения выполнения ИП Типцов А.В. обязанностей оператора, предусмотренных законодательством Российской Федерации в области ПДн, включают:
назначение лица, ответственного за организацию обработки ПДн в ИП Типцов А.В.;
определение угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
учет машинных носителей персональных данных;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и
принятие мер по недопущению подобных инцидентов в дальнейшем;
восстановление персональных данных, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных
данных и уровнем защищенности информационных систем персональных данных.
6.3. Условия обработки персональных данных в ИП Типцов А.В.
Обработка ПДн в ИП Типцов А.В. осуществляется с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Российской Федерации в области ПДн;
Согласие на обработку ПДн может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством РФ;
ИП Типцов А.В. обязан иметь доказательство получения согласия работника на обработку его ПДн (в том случае, если такое согласие является необходимым);
ИП Типцов А.В. без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом;
ИП Типцов А.В. вправе осуществлять обработку ПДн без согласия субъекта ПДн в случаях, предусмотренных действующим законодательством Российской Федерации;
ИП Типцов А.В. вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
В целях внутреннего информационного обеспечения ИП Типцов А.В. может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые оператору субъектом персональных данных.
Доступ к обрабатываемым в ИП Типцов А.В. персональным данным разрешается только работникам ИП Типцов А.В., занимающим должности, включенные в перечень должностей структурных подразделений ИП Типцов А.В., при замещении которых осуществляется обработка персональных данных.
Субъект ПДн может отозвать свое согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ.
6.4. Перечень действий с персональными данными и способы их обработки
6.4.1. ИП Типцов А.В. осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
6.4.2 Обработка персональных данных в ИП Типцов А.В. может осуществляться следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
7. Заключительные положения
7.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте (www.avto-e.ru).
7.2. Ответственность должностных лиц ИП Типцов А.В., имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.
7.3. Настоящая Политика подлежит изменению и дополнению при изменении законодательных и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля (надзора), а также в целях закрепления наработанной ИП Типцов А.В. практики обработки ПДн.