Политика в отношении обработки персональных данных

Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Под оператором персональных данных в настоящей Политике понимается АО «Инфозащита».

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

Общие положения

Назначение Политики

Настоящая «Политика в отношении обработки персональных данных АО «Инфозащита»» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов персональных данных и состав обрабатываемых в АО «Инфозащита» персональных данных, действия (операции), совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых требованиях по обеспечению безопасности персональных данных.

Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.

Настоящая Политика разработана в целях соответствия требованиям ст.18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».

Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в АО «Инфозащита» и обеспечение безопасности персональных данных в АО «Инфозащита», в том числе при их обработке в информационных системах персональных данных, разрабатываются с учетом положений настоящей Политики.

Принципы, цели и правовые основания обработки персональных данных

Принципы обработки персональных данных

АО «Инфозащита», являясь оператором персональных данных, осуществляет обработку персональных данных субъектов персональных данных в соответствии со следующими принципами:

  • обработка персональных данных в АО «Инфозащита» осуществляется на законной и справедливой основе;
  • обработка персональных данных в АО «Инфозащита» ограничивается достижением конкретных, заранее определенных и законных целей. В АО «Инфозащита» не осуществляется обработка персональных данных, несовместимая с целями сбора персональных данных;
  • в АО «Инфозащита» не осуществляется объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • в АО «Инфозащита» обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых в АО «Инфозащита» персональных данных соответствует заявленным целям обработки. Обрабатываемые в АО «Инфозащита» персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных в АО «Инфозащита» обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В АО «Инфозащита» принимаются необходимые меры (либо обеспечивается принятие мер) по удалению или уточнению неполных или неточных персональных данных;
  • хранение персональных данных в АО «Инфозащита» осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые в АО «Инфозащита» персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Цели обработки персональных данных

Персональные данные обрабатываются в АО «Инфозащита» в целях:

  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на АО «Инфозащита», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
  • исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • осуществления прав и законных интересов АО «Инфозащита» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами АО «Инфозащита», или третьих лиц либо достижения общественно значимых целей;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • в иных законных целях.

Правовые основы обработки персональных данных

АО «Инфозащита», являясь оператором персональных данных, осуществляет обработку персональных данных субъектов персональных данных с учетом следующих возможных правовых оснований:согласие субъекта персональных данных на обработку его персональных данных;

  • необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • необходимость осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • необходимость исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также необходимость заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • необходимость защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • необходимость осуществления прав и законных интересов оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществление обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществление обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Категории субъектов персональных данных, состав обрабатываемых персональных данных и действия (операции), совершаемые с персональными данными

Категории субъектов персональных данных

АО «Инфозащита» осуществляет обработку персональных данных работников АО «Инфозащита» и других субъектов персональных данных, не состоящих с АО «Инфозащита» в трудовых отношениях (не являющихся работниками АО «Инфозащита»).

Состав обрабатываемых персональных данных

Состав персональных данных, обрабатываемых в АО «Инфозащита», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами АО «Инфозащита» с учетом целей обработки персональных данных, указанных в разделе 2.2 настоящей Политики.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, персональных данных о судимости в АО «Инфозащита» не осуществляется.

Действия (операции), совершаемые с персональными данными

АО «Инфозащита» обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных в АО «Инфозащита» осуществляется следующими способами:

  • без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

АО «Инфозащита» обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Права субъектов персональных данных

Субъекты персональных данных имеют право:

  • на получение следующих сведений, касающихся обработки его персональных данных в АО «Инфозащита»:
    • подтверждение факта обработки его персональных данных АО «Инфозащита»;
    • правовые основания и цели обработки его персональных данных;
    • цели и применяемые оператором способы обработки его персональных данных;
    • состав обрабатываемых персональных данных, относящихся к субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • наименование и местонахождение АО «Инфозащита» (оператора), сведения о лицах (за исключением работников АО «Инфозащита»), которые имеют доступ к его персональным данным или которым могут быть раскрыты его персональные данные на основании договора с АО «Инфозащита» или на основании федерального закона;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку его персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    • информацию об осуществленной или о предполагаемой трансграничной передаче его персональных данных;
    • сроки обработки его персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
  • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отзыв согласия на обработку персональных данных;
  • принятие предусмотренных законом мер по защите своих прав;
  • обжалование действия или бездействия АО «Инфозащита», осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
  • осуществление иных прав, предусмотренных законодательством Российской Федерации.

Право субъекта персональных данных на получение сведений, касающихся обработки его персональных данных в АО «Инфозащита», может быть ограничено в соответствии с действующим законодательством Российской Федерации.

Сведения о реализуемых требованиях по обеспечению безопасности персональных данных

При обработке персональных данных АО «Инфозащита» принимает все необходимые правовые, организационные и технические меры достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относится:

  • назначение АО «Инфозащита» ответственного за организацию обработки персональных данных;
  • издание АО «Инфозащита» настоящей Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области организации обработки и обеспечения безопасности персональных данных;
  • устранение АО «Инфозащита» последствий нарушений законодательства Российской Федерации в области организации обработки и обеспечения безопасности персональных данных;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам АО «Инфозащита»;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых АО «Инфозащита» мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • ознакомление работников АО «Инфозащита», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников АО «Инфозащита»;
  • включение в договоры с третьими лицами, предусматривающими необходимость передачи персональных данных, обязательств третьих лиц о соблюдении конфиденциальности и обеспечении безопасности персональных данных;
  • включение в договоры с третьими лицами, предусматривающими поручение обработки персональных данных третьему лицу:
    • обязательств третьих лиц соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • перечень действий (операций) с персональными данными, которые будут совершаться третьими лицами;
    • цели обработки персональных данных;
    • обязанности третьих лиц соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а также требования к их защите.
  • применение АО «Инфозащита» необходимых правовых, организационных и технических мер по обеспечению безопасности персональных данных и защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:
    • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • учет машинных носителей персональных данных;
    • обнаружение фактов несанкционированного доступа к персональным данным;
    • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Заключительные положения

АО «Инфозащита» обеспечивает неограниченный доступ к настоящей Политике путем публикации настоящей Политики на официальном сайте АО «Инфозащита», расположенном по адресу: https://itprotect.ru/privacy-policy.

Иные права и обязанности АО «Инфозащита» определяются действующим законодательством Российской Федерации в области организации обработки и обеспечения безопасности персональных данных.

Актуализация настоящей Политики осуществляется на плановой основе не реже 1 (одного) раза в 3 (три) года, и внепланово по результатам внутреннего контроля и (или) аудита соответствия обработки персональных данных или в случае изменений требований действующего законодательства Российской Федерации в области организации обработки и обеспечения безопасности персональных данных.