+7 (499) 136-00-54
ENG
Главная/Политика по обработке и защите персональных данных

Политика по обработке и защите персональных данных

Общество с ограниченной ответственностью «ФТО Центр разработки»

(ООО «ФТО ЦР»)

Утверждено

Приказом ООО «ФТО ЦР»

от 28.10.2024 № ОД-19-2024

Политика по обработке и защите персональных данных

1. Общие положения

1.1. Настоящая Политика по обработке и защите персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), обрабатываемых ООО «ФТО ЦР» (далее – Общество, Оператор).

1.2. Настоящая Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящей Политики.

1.3. Общество обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.

1.4. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных, а также лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Обществе.

1.5. Настоящая Политика является внутренним документом и доступна для ознакомления на официальном сайте Общества, находящемся по адресу: https://fto.com.ru.

2. Термины и принятые сокращения

2.1. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы обработки ПД

3.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.

3.2. Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.3. Общество не осуществляет обработку биометрических персональных данных.

3.4. Трансграничная передача персональных данных Обществом не осуществляется.

3.5. При обработке персональных данных Общество исходит из следующих принципов:

  • обработка персональных данных имеет место на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

3.6. Все ПД должны быть получены у субъекта персональных данных. Если ПД возможно получить только у третьей стороны, то такие данные получаются Обществом при обязательном предварительном получении письменного согласия субъекта персональных данных. При получении указанного согласия Общество сообщает субъекту о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД.

3.7. К обработке ПД допускаются только работники Общества, в должностные обязанности которых входит обработка ПД.

3.8. Работники Общества должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области, в том числе с настоящей Политикой.

4. Категории субъектов, цели и сроки обработки ПД

4.1. Общество осуществляет обработку следующих категорий субъектов ПД:

4.1.1. соискателей на замещение вакантных должностей в Обществе – в составе и в сроки, необходимые для принятия Обществом решения о приеме либо отказе в приеме на работу, с согласия субъектов ПД, а также для формирования кадрового резерва, с согласия субъектов ПД;

4.1.2. работников, состоящих или состоявших в трудовых отношениях с Обществом – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, в том числе в целях предоставления страхования с согласия субъектов ПД;

4.1.3. представителей поставщиков Общества – в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных;

4.1.4. лиц, связанных с несчастными случаями – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

4.1.5. лиц, получающих доход, но не состоящих в трудовых отношениях с Обществом — в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения, возложенных законодательством РФ на Общество функций, полномочий и обязанностей;

4.1.6. представителей потенциальных и существующих клиентов – в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов ПД, в том числе с целью проведения рекламных и новостных рассылок;

4.1.7. работников компаний-заказчиков — в пределах необходимых для выполнения Обществом обязательств в рамках заключенных гражданско-правовых договоров;

4.1.8. представителей партнеров – в составе и в сроки, необходимые для осуществления взаимодействия с партнерами, с согласия субъектов ПД.

4.2. Цели обработки ПД.

4.2.1. Обработка персональных данных с целью осуществление прав и законных интересов Общества, в рамках видов деятельности, предусмотренных уставом и иными локальными нормативными ООО «ФТО ЦР».

4.2.2. Обработка персональных данных контрагентов и клиентов ООО «ФТО ЦР» осуществляется с целью заключения и исполнения гражданско-правовых договоров.

4.2.3. Обработка персональных данных соискателей претендующих на занятие вакантных должностей в ООО «ФТО ЦР» с целью осуществления деятельности по подбору персонала, формирования кадрового резерва, рассмотрения кандидатов для дальнейшего трудоустройства и проведения собеседования на вакантную должность.

4.2.4. Обработка персональных данных работников Общества осуществляется с целью:

  • отражения информации в кадровых документах;
  • оформления и регулирования трудовых отношений, в том числе с использованием кадрового
  • электронного документооборота;
  • подачи сведений в банки для оформления банковских карт для работников и последующего перечисления заработной платы;
  • представления законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;
  • обеспечения безопасных условий труда работников Общества;
  • предоставление информации в медицинские учреждения и страховые компании;
  • обеспечения предоставления социального пакета работникам Общества;
  • содействие работнику в образовании и профессиональном развитии, в том числе содействие в прохождении процедур подтверждения квалификации (сертификации, экзамены, тестирования);
  • организация и проведение праздничных и развлекательных мероприятий внутри компании;
  • осуществления пропускного режима на территории Общества.

4.2.5.Обработка персональных данных работников, контрагентов и клиентов ООО «ФТО ЦР» с целью соблюдения налогового законодательства и ведения бухгалтерского учета в организации, в том числе с целью начисления заработной платы, исчисления и уплаты налоговых платежей, предоставления налоговых вычетов.

4.2.6.Обработка персональных данных работников, контрагентов и клиентов ООО «ФТО ЦР» с целью осуществления маркетинговой политики организации.

4.3. Обработка персональных данных осуществляется Обществом путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления доступа), обезличивания, блокирования, удаления, уничтожения.

4.4. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

4.5. Сроки обработки ПД определены с учетом:

  • установленных целей обработки ПД;
  • сроков действия договоров с субъектами ПД и согласий субъектов ПД на обработку их ПД;
  • сроков, установленных ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236).

5. Основные права субъекта ПД и обязанности Оператора

5.1. Основные права субъекта ПД.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки ПД Оператором;
  • правовые основания и цели обработки ПД;
  • цели и применяемые Оператором способы обработки ПД;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • обращение к Оператору и направление ему запросов;
  • обжалование действий или бездействия Оператора.

5.2. Обязанности Оператора ПД.

Оператор обязан:

  • при сборе ПД предоставить информацию об обработке ПД;
  • в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
  • при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
  • давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

5.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, а также на отзыв ранее данного согласия на обработку ПД. Для получения указанной информации или направления отзыва, субъект персональных данных может отправить письменный запрос одним из следующих способов, в порядке, установленном ст. 14 Закона о персональных данных:

— на юридический адрес Оператора: 644042, г. Омск, пр. Карла Маркса, д. 18 корп. 28, офис 601;

— в форме электронного документа, подписанный электронной подписью, через систему КЭДО HRlink;

— на адрес электронной почты: law@fto.com.ru.

5.4. Отзыв согласия может быть направлен в свободной форме, позволяющей Оператору идентифицировать субъекта ПД. Примерная форма отзыва согласия утверждена Приложением № 2 к настоящей Политике.

5.5. Оператор обязан сообщить субъекту ПД требуемые сведения в течение 10 рабочих дней, с момента получения письменного запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации (ч. 1 ст. 20 Закона о персональных данных).

5.6. При отзыве согласия на обработку ПД Оператор обязан прекратить обработку персональных данных и уничтожить их в течение 30 дней со дня поступления отзыва.

5.7. В случае направления субъектом ПД отзыва согласия на обработку персональных данных (ч. 2 ст. 9 Закона № 152-ФЗ), Оператор обязан прекратить обработку ПД в случае, когда их сохранение более не требуется для целей их обработки.

6. Хранение и уничтожение ПД

6.1. Хранение ПД.

6.1.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

6.1.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

6.1.3.ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся на защищенных серверах в разных папках.

6.1.4.Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

6.1.5.Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6.2. Доступ к ПД без получения специального разрешения имеют работники, занимающие следующие должности в Обществе:

  • генеральный директор;
  • заместители генерального директора (при необходимости);
  • директор по развитию;
  • главный бухгалтер;
  • работники бухгалтерии;
  • директор по персоналу;
  • заместитель директора по персоналу;
  • руководитель группы по подбору персонала;
  • руководитель группы развития персонала;
  • специалисты по кадровому делопроизводству;
  • специалисты по охране труда;
  • менеджеры по персоналу;
  • администраторы офиса;
  • юристы;
  • финансовые аналитики;
  • начальник отдела информационных технологий;
  • аналитики и разработчики административно-управленческого отдела;
  • системные администраторы;
  • все должности уровня руководитель (к сведениям о работниках Общества, являющихся их подчиненными, в объеме необходимом для выполнения ими должностных обязанностей);
  • работники аудиторских организаций, проводящие аудиторские проверки в Обществе (в объеме, необходимом для проведения проверки).

6.2.1. При этом указанные лица имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций.

6.2.2. При приеме на работу такие работники дают обязательство не разглашать персональные данные работников Общества, которые стали известны им в связи с исполнением ими трудовых обязанностей (форма утверждена в приложении № 1 к настоящей Политике).

6.2.3. При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным работников Общества, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.

6.2.4. При обработке персональных данных работников в информационных системах Общество руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 № 21.

6.3. Уничтожение ПД.

6.3.1. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:

    • быть конфиденциальным, исключая возможность последующего восстановления;
    • оформляться актом об уничтожении носителей, содержащих персональные данные субъектов ПД;
    • должно проводиться комиссией по уничтожению ПД;
    • уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов ПД, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных ПД либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

6.3.2. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

  • уничтожение ПД, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов), установленного в кабинете специалистов по кадровому делопроизводству, либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
  • уничтожение ПД, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  • подлежащие уничтожению файлы с персональными данными субъектов ПД, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  • в случае допустимости повторного использования носителя (CD-RW, DVD-RW, память USB Flash) применяется программное удаление («затирание») содержимого путем форматирования с последующей записью новой информации на данный носитель.

7. Защита персональных данных

7.1. В соответствии с требованиями нормативных документов Обществом создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

7.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

7.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

7.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

7.5. Основными мерами защиты ПД, применяемыми Оператором, являются:

7.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Обществом и его работниками требований к защите ПД;

7.5.2. Работники организации, непосредственно осуществляющие обработку персональных данных, ознакомлены с документами, локальными нормативными актами, принятыми в Обществе, а также положениями законодательства Российской Федерации в области защиты, обработки и хранения ПД;

7.5.3. Проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушений норм законодательства РФ в области обработки и защиты ПД (определен требуемый уровень защиты персональных данных);

7.5.4. Проведено определение угроз безопасности ПД при их обработке в ИСПД и разработаны меры и мероприятия по защите ПД.

7.5.5. Разработана Политика по обработке и защите персональных данных, а также Положение о защите персональных данных работников Общества.

7.5.6. Установлены правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

7.5.7. Применяются средства защиты информации;

7.5.8. До ввода в эксплуатацию ИСПД проводилась оценка эффективности принимаемых мер по обеспечению безопасности ПД;

7.5.9. Определен способ восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7.5.10. Установлены правила доступа к ПД, а также обеспечена регистрация и учет всех действий, совершаемых с ПД в информационной системе.

7.5.11. Осуществляется внутренний контроль и аудит соблюдения Обществом законодательства РФ в области обработки и защиты ПД.

7.6. Основными средствами защиты ПД, применяемыми Оператором, являются:

7.6.1. Ограничение доступа в помещения, в которых находится оборудование ИСПД;

7.6.2. Обеспечение сохранности носителей данных: помещения, в которых находятся носители (бумажные и электронные) информации, относящейся к персональным данным, запираются на ключ и сдаются под охранную сигнализацию.

7.6.3. Проводится идентификация и аутентификация пользователей, имеющих доступ к информационным системам персональных данных);

7.6.4. Проводится разграничение доступа к данным;

7.6.5. Используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.6.6. Осуществляется резервное копирование данных;

7.6.7. Настроены файрволы на сетевых устройствах, используемых для подключения к внешней сети;

7.6.8. Утвержден список работников организации, которым разрешен доступ к персональным данным;

7.6.9. Назначено лицо, ответственное за обеспечение безопасности данных в информационной системе;

7.6.10. Доступ к электронному журналу безопасности ограничен исключительно уполномоченными лицами.

7.6.11. Обеспечен учет материальных носителей.

7.6.12. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах.

7.6.13. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.

7.6.14. Лица, осуществляющие обработку персональных данных без использования средств автоматизации проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки.

8. Заключительные положения

8.1. Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения генеральным директором Общества и размещения на официальном сайте Общества (https://fto.com.ru/), если иное не предусмотрено новой редакцией Политики.

8.2. Настоящая Политика разработана в соответствии с законодательством Российской Федерации. В случае изменения норм законодательства Российской Федерации об охране персональных данных работников настоящая Политика должна быть приведена в соответствие с действующим законодательством.

8.3. Приложения:

Приложение № 1. Обязательство о неразглашении персональных данных.

 

 

Приложение № 1

Обязательство о неразглашении персональных данных

 

Я, ___________________________________________________________, зарегистрированный(ая) по адресу: __________________________________________________ паспорт ______ _________, выданный ____________________________________________________ «___» _________ ________ г., занимающий(ая) должность ____________________________________________ в ООО «ФТО ЦР», расположенному по адресу: г. Омск, пр-т Карла Маркса, 18/28, офис 601, именуемом далее Общество, обязуюсь соблюдать нижеследующие требования.

В связи с тем, что занимаемая мной должность предполагает доступ к персональным данным, обязуюсь соблюдать требования к обработке персональных данных, установленные Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами, а также Политикой по обработке и защите персональных данных в ООО «ФТО ЦР» и Положением о защите персональных данных работников в ООО «ФТО ЦР».

Обязуюсь обеспечить конфиденциальность процесса получения, обработки, хранения и уничтожения персональных данных, доступ к которым предоставлен мне в связи с выполняемой работой.

Я проинформирован(а), что доступ к персональным данным Общества разрешен только лицам, указанным в Политике по обработке и защите персональных данных в ООО «ФТО ЦР» (п. 6.2), и передача третьим лицам любых сведений, составляющих персональные данные, без разрешения генерального директора и получения согласия субъекта персональных данных категорически запрещена.

Я предупрежден(а) о том, что в случае нарушения мною требований законодательства РФ, определяющих режим их обработки, в том числе в случае их незаконного разглашения или утраты, я несу ответственность в соответствии с законодательством РФ, в частности ст. 90 ТК РФ.

 

 

«_____»_______________ 20____ г. ___________________________________/__________________ /

 

 

 

 

Вы пользуетесь устаревшей версией браузера. Данная версия браузера не поддерживает многие современные технологии, из-за чего многие страницы отображаются некорректно, а главное — на сайтах могут работать не все функции.