Политика в отношении обработки персональных данных
Общие положения
1.1. Настоящий документ определяет политику организации ООО «Проммашстрой», адрес: 188544, Ленинградская область, г. Сосновый Бор, а/я 35/7, в отношении обработки персональных данных (далее – Политика), содержащихся в информационных системах персональных данных «Сведения о документах об образовании»; «Работники»; «Интернет-сайт».
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральными законами Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», (далее – Федеральный закон № 152-ФЗ), от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» иными нормативно-правовыми актами.
1.3. Настоящая Политика, все дополнения и изменения к ней утверждаются руководителем Организации.
Основные понятия, используемые в настоящей Политике
2.1. Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (или без использования таких средств) с ПДн, включая:
2.2.1. сбор;
2.2.2. запись;
2.2.3. систематизацию;
2.2.4. накопление;
2.2.5. хранение;
2.2.6. уточнение (обновление, изменение);
2.2.7. извлечение;
2.2.8. использование;
2.2.9. передачу (распространение, предоставление, доступ);
2.2.10. обезличивание;
2.2.11. блокирование;
2.2.12. удаление;
2.2.13. уничтожение.
2.3. Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Цели обработки ПДн
3.1. Организация осуществляет обработку ПДн в ИСПДн «Сведения о документах об образовании»; «Работники»; «Интернет-сайт».
3.2. Целью обработки ПДн в ИСПДн «Сведения о документах об образовании»; «Работники»; «Интернет-сайт» является выполнение требований постановления Правительства Российской Федерации от 26 августа 2013 года № 729 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении» и положений части 10 статьи 98 Федерального закона «Об образовании в Российской Федерации»; Трудового кодекса Российской Федерации (Глава 14); 1.2.2. Гражданского кодекса Российской Федерации, часть 1 статей 150, 152, 152.1, 152.2; Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации»; Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»; Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Принципы обработки ПДн
4.1. Обработка ПДн осуществляется Организацией на основе принципов:
4.1.1. обработка ПДн осуществляется на законной и справедливой основе;
4.1.2. обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
4.1.3. не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
4.1.4. содержание и объем обрабатываемых ПДн соответствуют целям обработки и обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки;
4.1.5. при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры по удалению или уточнению неполных, или неточных данных;
4.1.6. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн (пункт 7 статьи 5 главы 2 Федерального закона № 152-ФЗ).
4.1.7. обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Условия обработки ПДн
5.1. Обработка ПДн осуществляется на законной основе.
5.2. Условия обработки ПДн соответствуют требованиям статьи 6 Федерального закона № 152-ФЗ.
Права субъектов ПДн
6.1. Субъекты ПДн, чьи ПДн обрабатываются в ИСПДн, имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:
6.1.1. подтверждение факта обработки ПДн Организацией; 6.1.2. правовые основания и цели обработки ПДн;
6.1.3. цели и применяемые Организацией способы обработки ПДн;
6.1.4. наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которыммогутбытьраскрыты ПДннаосновании договорасОрганизацией или на основании федеральных законов Российской Федерации;
6.1.5. обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации;
6.1.6. сроки обработки ПДн, в том числе сроки их хранения;
6.1.7. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.2. Субъекты ПДн вправе требовать от Организации уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъекты ПДн вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
6.4. Субъекты ПДн имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Реализация требований к защите ПДн
7.1. Реализация требований к защите ПДн в Организации осуществляется в соответствии с Приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.2. Реализация требований к защите ПДн в Организации включает в себя проведение следующих мероприятий:
7.2.1. определение категории ПДн, обрабатываемых в ИСПДн; 7.2.2. определение угроз безопасности ПДн;
7.2.3. определение необходимого уровня защищенности ПДн на основе анализа угроз безопасности и возможного ущерба Организации при реализации угроз безопасности ПДн.
7.2.4.Реализация технических и организационных мер по защите ПДн, обрабатываемых в ИСПДн, на основе требованийпостановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и требований Приказа ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Заключительные положения
8.1. Настоящая Политика является внутренним документом Организации, общедоступной и подлежит размещению на официальном сайте Организации.
8.2. Настоящая Политика подлежит изменению, дополнению в случае необходимости либо принятия новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.
8.3. Сотрудники Организации несут ответственность за ненадлежащее исполнение или неисполнение своих обязанностей предусмотренных настоящей Политикой, в пределах, определенных действующим законодательством Российской Федерации.