Политика оператора в отношении обработки персональных данных

Утверждена приказом от 06.06.2015 № 3-ОД

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика оператора в отношении обработки персональных данных (далее — Политика) раскрывает состав субъектов персональных данных, принципы, порядок и условия обработки персональных данных лиц, чьи персональные данные обрабатываются ООО «ЦОП «ЮРИС» (далее – Оператор).

1.2. Политика разработана в соответствии со следующими нормативными документами:

Конституцией Российской Федерации;

Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.3. Основные понятия, используемые в Политике:

персональные данные (далее — персональные данные) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

субъект персональных данных – физическое лицо (работник Оператора, контрагент Оператора, клиент, посетитель сайта Оператора), обладающее персональными данными прямо или косвенно его определяющими;

оператор персональных данных – ООО «ЦОП «ЮРИС», адрес места нахождения: 625003, город Тюмень, ул. Герцена, 64, офис 904, ОГРН: 1157232011892; ИНН/КПП: 7203338119 / 720301001;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

неавтоматизированная обработка персональных данных – обработка персональных данных при непосредственном участии человека, содержащихся в информационной системе персональных данных либо извлеченных из такой системы;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

сайт Оператора: uris72.ru.

Иные понятия в Политике, используются в значениях, установленных в нормативных актах, указанных в пункте 1.2 Политики.

1.4. Целями Политики являются:

1) обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну,

2) обеспечение защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Оператора;

3) определение порядка обработки персональных данных;

4) обеспечение соответствия порядка обработки персональных данных Оператором законодательству РФ в области персональных данных.

1.5 Задачами Политики являются:

1) определение принципов обработки персональных данных;

2) определение условий обработки персональных данных, способов защиты персональных данных;

3) определение прав субъектов персональных данных, прав и обязанностей Оператора при обработке персональных данных.

1.6. Действие Политики распространяется на процессы обработки персональных данных Оператором с использованием средств автоматизации, в том числе с использованием информационно-телекоммуникационных сетей, и без использования таких средств.

1.7. Политика действует в отношении информации, которую Оператор получает о субъекте персональных данных в процессе осуществления своей деятельности, предоставления услуг или исполнения договорных обязательств.

1.8. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора по защите конфиденциальной информации.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Правовым основанием обработки персональных данных Оператором является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

2.2. Правовым основанием обработки персональных данных являются:

1) федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;

2) договоры, заключаемые между Оператором и субъектом персональных данных;

3) согласие субъекта персональных данных на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).

2.3. Согласием субъекта персональных данных на обработку персональных данных Оператор считает осуществление субъектом одного из следующих действий:

1) передача Оператору собственноручного письменного согласия на обработку персональных данных;

2) заполнение и направление на сайте Оператора заявок на получение услуги, на получение консультаций, вопросов, обращений, отзывов о работе Оператора, размещение на сайте Оператора комментариев;

3) направление писем, сообщений на электронный адрес (электронную почту) Оператора почте;

4) сообщение персональных данных по телефону или оставление голосового сообщения.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет обработку персональных данных в следующих целях:

1) заключения, исполнения гражданско-правовых договоров с физическими, юридическими иными лицами, в случаях, предусмотренных действующим законодательством и локальными нормативными актами Оператора;

2) организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;

3) ведения кадрового делопроизводства, пользования различного вида льготами;

4) исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

5) обеспечения, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;

6) оказания услуг, направления рекламных писем, рассылок информационного характера.

4. ОБЪЕМ И КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Перечень персональных данных, подлежащих защите Оператором, формируется в соответствии с федеральным законодательством о персональных данных и перечнями персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с осуществлением деятельности Оператора.

4.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

4.3. В зависимости от субъекта персональных данных Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

1) персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом Оператора, необходимые Оператору для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;

2) персональные данные работников Оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников Оператора;

3) граждан, посетителей сайта Оператора, имеющих намерение задать вопрос, получить консультацию, заказать услугу, направивших соответствующую заявку Оператору, граждан, оставивших отзыв о деятельности Оператора на сайте Оператора;

4) граждан, являющихся клиентами Оператора.

4.4. Обрабатываемые Оператором персональные данные применительно к конкретным целям их обработки:

№ п/п

Цель обработки персональных данных

Обрабатываемые персональные данные

1

оформление трудовых отношений; ведение кадрового и бухгалтерского учета в соответствии с законодательством РФ; организация проверки персональных данных и иных сведений, сообщенных о себе при приеме на работу; начисление заработной платы; исчисление и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование; представление Оператором установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ; предоставление сведений в банк для оформления банковской карты и перечисление на нее заработной платы; предоставления сведений третьим лицам для оформления полиса ДМС; предоставление налоговых вычетов; обеспечение безопасности; контроль количества и качества выполняемой работы; обеспечение сохранности имущества Оператора, составление списков дней рождения; составление служебного телефонного справочника; презентация деятельности Оператора и кадрового состава (в том числе на сайте Оператора).

фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации и жительства, контактный телефон, паспортные данные, ИНН, СНИЛС, сведения о воинском учете, профессия, данные документов об образовании, данные о достижениях и наградах, данные о квалификации и аттестации, данные о местах работы, стаж, социальные льготы, место рождения, данные документов об опеке, данные свидетельства о рождении детей, семейное положение, состав семьи, должность и место работы, данные доходов и заработной платы, биометрические данные (фото, видео).

2

Оказание услуг Оператором, направление рекламных писем, рассылок информационного характера

фамилия, имя, отчество, должность, дата и место рождения, адрес регистрации и жительства, адрес электронной почты, контактный телефон, паспортные данные, ИНН, СНИЛС – клиента физического лица;

фамилия, имя, отчество, должность, адрес электронной почты, контактный телефон представителя – клиента юридического лица.

3

Размещение на сайте Оператора отзывов о работе Оператора

фамилия, имя, отчество, должность

5. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.2. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства РФ и нормативными документами.

5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.4. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.

6. ПРАВА ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор вправе:

1) отстаивать свои интересы в суде;

2) предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (органам дознания и следствия, иным уполномоченным органам);

3) отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

4) использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством;

5) осуществлять сбор информации о пользователях сайта Оператора, в том числе с использованием идентификационных файлов, которые сохраняются в клиентской системе, путем регистрации, а также через сообщения, отправляемые посредством сайта Оператора.

6.2. Субъект персональных данных имеет право:

1) требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

2) требовать перечень своих персональных данных, обрабатываемых оператором и источник их получения;

3) получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

4) требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

5) в любое время отозвать согласие на обработку персональных данных;

6) обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

7) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.3. Субъект персональных данных или его представитель имеет право направить Оператору

запрос/обращение, по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным.

Запрос/обращение направляется посредством электронного письма на адрес: info@uris72.ru

7. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

7.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

1) законности и справедливости целей и способов обработки персональных данных; соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям и функциям Оператора;

2) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

3) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

4) недопустимости объединения, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

5) хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

6) уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

7.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

7.4. Оператор при оказании услуг при необходимости взаимодействует с третьими лицами в рамках достижения целей обработки персональных данных. Условия передачи персональных данных в адрес третьих лиц, конкретное наименование и местонахождение соответствующих третьих лиц, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных доводятся до сведения субъекта персональных данных, путем размещения на сайте Оператора.

8. РЕАЛИЗУЕМЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

8.1. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

8.2. Защита информации в информационной системе персональных данных является неотъемлемой составной частью деятельности Оператора и осуществляется во взаимосвязи с другими мерами по защите информации, составляющей персональные данные.

8.3. Защита информации является составной частью работ по созданию и эксплуатации информационной системы персональных данных и осуществляется в установленном Политикой порядке и реализовывается в виде системы (подсистемы) защиты персональных данных.

8.4. Защита информации осуществляется посредством выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно — технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее санкционированной доступности и работоспособности технических средств.

8.5. В информационной системе персональных данных используются сертифицированные по требованиям безопасности средства защиты информации и (или) технические и организационные решения, исключающие утечку информации по техническим каналам, за счет несанкционированного доступа, предупреждающие нарушение целостности информации.

8.6. Защита информации является дифференцированной в зависимости от применяемых технических средств, обрабатывающих информацию, составляющую персональные данные, установленного уровня защищенности информационной системы персональных данных, установленного класса и утвержденной для нее модели угроз.

8.7. Все используемые в информационной системе персональных данных средства защиты информации проверяются на соответствие ограничениям и условиям эксплуатации, изложенным в сертификате соответствия, эксплуатационной документации или формуляре (для технических и программных средств защиты информации соответственно).

8.8. В целях координации действий по обеспечению безопасности персональных данных Оператором назначается ответственное лицо за обеспечение безопасности персональных данных.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Политика является общедоступной и подлежит размещению на официальном сайте Оператора в сети «Интернет».

9.2. Политика вступает в силу с момента её утверждения и действует бессрочно до замены новой Политикой.

Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.3. Контроль исполнения требований Политики осуществляется ответственным лицом за обеспечение безопасности персональных данных у Оператора.

9.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора.