Політика обробки персональних даних в ТОВ «ІСП Інко-нет»
1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Справжня Політика визначає порядок обробки персональних даних та заходи щодо забезпечення безпеки персональних даних в ТОВ «ІСП Інко-нет» з метою захисту прав і свобод людини і громадянина при обробці його персональних даних, в тому числі захисту прав на недоторканність приватного життя, особисту і сімейну таємницю.
1.3. У цій Політиці використовуються такі терміни та визначення:
державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;
- будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних);
- будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
- обробка персональних даних за допомогою засобів обчислювальної техніки;
- дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого кола осіб, в тому числі оприлюднення персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних яким -або іншим способом;
- дії, спрямовані на розкриття персональних даних певній особі або певному колу осіб;
- тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
- дії, в результаті яких неможливо визначити без використання додаткової інформації приналежність персональних даних конкретного суб'єкта персональних даних;
- сукупність містяться в базах даних персональних даних, і забезпечують їх обробку інформаційних технологій і технічних засобів;
- передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній або іноземній юридичній особі.
1.4. Дія Політики поширюється на всі персональні дані суб'єктів, оброблювані Оператором із застосуванням засобів автоматизації та без застосування таких засобів.
1.5. До цій Політиці повинен мати доступ будь-який суб'єкт персональних даних.
2. ПРИНЦИПИ І УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. Обробка персональних даних Оператором здійснюється на основі наступних принципів:
─ законності і справедливої основи;
─ обмеження обробки персональних даних досягненням конкретних, заздалегідь визначених і законних цілей;
─ недопущення обробки персональних даних, несумісною з цілями збору персональних даних.
─ недопущення об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісних між собою;
─ обробки тільки тих персональних даних, які відповідають цілям їх обробки;
─ відповідності змісту і обсягу оброблюваних персональних даних заявленим цілям обробки;
─ недопущення обробки надлишкових персональних даних стосовно заявленим цілям їх обробки;
─ забезпечення точності, достатності та актуальності персональних даних по відношенню до цілей обробки персональних даних;
─ знищення або знеособлення персональних даних після досягнення цілей їх обробки або в разі втрати необхідності в досягненні цих цілей, при неможливості усунення Оператором допущених порушень персональних даних, якщо інше не передбачено федеральним законом.
2.2. Оператор обробляє персональні дані тільки при наявності хоча б однієї з таких умов:
─ обробка персональних даних здійснюється за згодою суб'єкта персональних даних на обробку його персональних даних;
─ обробка персональних даних необхідна для досягнення цілей, передбачених законом, для здійснення і виконання покладених законодавством Російської Федерації на оператора функцій, повноважень і обов'язків;
─ обробка персональних даних необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем, за яким є суб'єкт персональних даних, а також для укладення договору з ініціативи суб'єкта персональних даних або договору, за яким суб'єкт персональних даних буде вигодонабувачем або поручителем;
─ обробка персональних даних необхідна для здійснення прав і законних інтересів Оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права і свободи суб'єкта персональних даних;
─ здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання;
2.3. Оператор і інші особи, які отримали доступ до персональних даних, зобов'язані не розголошувати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом.
Відомості про працівника повинні бути в будь-який час виключені з загальнодоступних джерел персональних даних на вимогу працівника або за рішенням суду або інших уповноважених державних органів.
2.5. Оператор має право доручити обробку персональних даних іншій особі за згодою суб'єкта персональних даних, якщо інше не передбачено федеральним законом, на підставі укладається з цією особою договору. Особа, яка здійснює обробку персональних даних за дорученням Оператора, зобов'язана дотримуватися принципів і правила обробки персональних даних, передбачені ФЗ-152.
─ суб'єкт персональних даних дав згоду в письмовій формі на обробку своїх персональних даних;
─ персональні дані зроблені загальнодоступними суб'єктом персональних даних;
─ обробка персональних даних необхідна для встановлення або здійснення прав суб'єкта персональних даних або третіх осіб, а так само і в зв'язку із здійсненням правосуддя;
─ обробка персональних даних здійснюється відповідно до законодавства Російської Федерації про протидію тероризму, про протидію корупції, про виконавче провадження, кримінально-виконавчим законодавством Російської Федерації;
─ обробка персональних даних здійснюється відповідно до законодавства про обов'язкові види страхування, до страхового законодавства.
2.7. Обробка персональних даних про судимість може здійснюватися Оператором виключно у випадках і в порядку, які визначаються відповідно до федеральних законів.
2.8. Відомості, які характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити його особистість - біометричні персональні дані - можуть оброблятися Оператором тільки при наявності згоди в письмовій формі працівника.
2.9. Транскордонна передача персональних даних на території іноземних держав може здійснюватися Оператором тільки при наявності згоди суб'єкта персональних даних на транскордонну передачу його персональних даних.
До початку здійснення транскордонної передачі персональних даних Оператор зобов'язаний переконатися в тому, що іноземною державою, на територію якого здійснюється передача персональних даних, забезпечується адекватний захист прав суб'єктів персональних даних.
3. ПРАВА СУБ'ЄКТІВ персональних даних
3.1. Суб'єкт персональних даних приймає рішення про надання його персональних даних і дає згоду на їх обробку вільно, своєю волею і в своєму інтересі. Згода на обробку персональних даних може бути дано суб'єктом персональних даних або його представником в будь-який дозволяє підтвердити факт його отримання формі, якщо інше не встановлено федеральним законом.
Обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних або доказ наявності підстав, зазначених у ФЗ-152, покладається на Компанію.
3.2. Суб'єкт персональних даних має право на отримання інформації, що стосується обробки його персональних даних, якщо таке право не обмежене відповідно до федеральними законами. Суб'єкт персональних даних має право вимагати від Оператора уточнення його персональних даних, їх блокування або знищення в разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів для захисту своїх прав .
3.3. Обробка персональних даних в цілях просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційними споживачами за допомогою засобів зв'язку, а також з метою політичної агітації допускається тільки за умови попередньої згоди суб'єкта персональних даних. Зазначена обробка персональних даних визнається здійснюваної без попередньої згоди суб'єкта персональних даних, якщо Оператор не доведе, що така згода була одержана.
Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних в вищевказаних цілях.
3.4. Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права і законні інтереси, за винятком випадків, передбачених федеральними законами, або за наявності згоди в письмовій формі суб'єкта персональних даних.
3.5. Якщо суб'єкт персональних даних вважає, що Оператор здійснює обробку його персональних даних з порушенням вимог ФЗ-152 або іншим чином порушує його права і свободи, суб'єкт персональних даних має право оскаржити дії або бездіяльність Оператора до Уповноваженого органу із захисту прав суб'єктів персональних даних або в судовому порядку .
Суб'єкт персональних даних має право на захист своїх прав і законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди в судовому порядку.
4. ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ персональних даних
4.1. Безпека персональних даних, які обробляються Оператором, забезпечується реалізацією правових, організаційних, технічних і програмних заходів, необхідних і достатніх для забезпечення вимог федерального законодавства у сфері захисту персональних даних.
4.2. Для цілеспрямованого створення Оператором несприятливих умов і труднопреодолімих перешкод для порушників, які намагаються здійснити несанкціонований доступ до персональних даних в цілях оволодіння ними, їх видозміни, знищення, зараження шкідливою комп'ютерною програмою, підміни і здійснення інших несанкціонованих дій Оператором застосовуються такі організаційно-технічні заходи:
─ призначення посадових осіб, відповідальних за організацію обробки та захисту персональних даних;
─ обмеження і регламентація складу працівників, що мають доступ до персональних даних;
─ ознайомлення працівників з вимогами федерального законодавства і нормативних документів Оператора по обробці та захисту персональних даних;
─ визначення загроз безпеки персональних даних при їх обробці, формування на їх основі моделей загроз;
─ розробка на основі моделі загроз системи захисту персональних даних для відповідного класу інформаційних систем;
─ перевірка готовності та ефективності використання засобів захисту інформації;
─ реалізація дозвільної системи доступу користувачів до інформаційних ресурсів, програмно-апаратних засобів обробки і захисту інформації;
─ реєстрація та облік дій користувачів інформаційних систем персональних даних;
─ парольний захист доступу користувачів до інформаційної системи персональних даних;
─ застосування засобів контролю доступу до комунікаційних портів, пристроїв введення-виведення інформації, знімним машинним носіям і зовнішнім накопичувачів інформації;
─ застосування в необхідних випадках засобів криптографічного захисту інформації для забезпечення безпеки персональних даних при передачі по відкритих каналах зв'язку і зберіганні на машинних носіях інформації;
─ здійснення антивірусного контролю, запобігання впровадження в корпоративну мережу шкідливих програм (програм-вірусів) і програмних закладок;
─ застосування міжмережевого екранування;
─ виявлення вторгнень в корпоративну мережу Оператора, що порушують або створюють передумови до порушення встановлених вимог щодо забезпечення безпеки персональних даних;
─ централізоване управління системою захисту персональних даних.
─ забезпечення відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
─ навчання працівників, які використовують засоби захисту інформації, які застосовуються в інформаційних системах персональних даних, правилам роботи з ними;
─ облік застосовуваних засобів захисту інформації, експлуатаційної та технічної документації до них;
─ використання засобів захисту інформації, які пройшли в установленому порядку процедуру оцінки відповідності;
─ проведення моніторингу дій користувачів, проведення розглядів за фактами порушення вимог безпеки персональних даних;
─ розміщення технічних засобів обробки персональних даних, в межах території, що охороняється;
─ організація пропускного режиму на територію Оператора;
─ підтримання технічних засобів охорони, сигналізації приміщень в стані постійної готовності.
5. Прикінцеві положення
5.1. Інші права та обов'язки Оператора, як оператора персональних даних, визначаються законодавством Російської Федерації в області персональних даних.
Посадові особи Оператора, винні в порушенні норм, що регулюють обробку і захист персональних даних, несуть матеріальну, дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність у порядку, встановленому федеральними законами.