Политика в отношении обработки персональных данных общества с ограниченной ответственностью «Электронный полис»
Утверждено Приказом от 10.03.2026 года
город Москва 2026 год
город Москва 2026 год
1. общие положения
настоящая политика обработки персональных данных (далее по тексту – политика) определяет основные принципы, цели, условия и способы обработки персональных данных общества с ограниченной ответственностью «электронный полис», перечни субъектов и способы обработки персональных данных, перечни субъектов и обрабатываемых в ооо «электронный полис» (далее - обществе) персональных данных, устанавливает процедуры и функции при обработке и защиты персональных данных, права субъектов персональных данных, а также реализуемые в обществе требования к защите персональных данных.
политика действует в отношении всех персональных данных, обрабатываемых в обществе, и служит основой для разработки организационно-распорядительных документов ооо «электронный полис», регулирующих процессы обработки и меры по обеспечению безопасности персональных данных в обществе.
во исполнении требований части 2 статьи 18.1 федерального закона от 27.07.2006 № 152-фз «о персональных данных», настоящая политика подлежит публикации в свободном доступе в информационно-телекоммуникационной сети «интернет» на сайте общества.
политика разработана с учетом требований законодательных и иных нормативных правовых актов российской федерации в области обработки персональных данных:
• конституция российской федерации;
• федеральный закон от 30.12.2001 № 197-фз «трудовой кодекс российской федерации»;
• федеральный закон от 30.11.1994 № 51-фз «гражданский кодекс российской федерации»;
• федеральный закон от 27.07.2006 № 149-фз «об информации, информационных технологиях и о защите информации»;
• федеральный закон рф от 27.11.1992 n 4015-1 «об организации страхового дела в российской федерации»;
• федеральный закон 27.07.2006 № 152-фз «о персональных данных»;
• федеральный закон от 02.12.1990 № 395-1 «о банках и банковской деятельности»;
• федеральный закон от 23.12.2003 № 177-фз «о страховании вкладов физических лиц в банках российской федерации»,
• федеральный закон от 30.12.2004 № 218-фз «о кредитных историях»;
• указ президента российской федерации от 06.03.1997 № 188 «об утверждении перечня конфиденциального характера»;
• постановление правительства рф от 15.09.2008 г. № 687 «об утверждении положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановление правительства российской федерации от 01.11.2012г. № 1119 «об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• «состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности», утв. приказом фсб россии от 10 июля 2014г. № 378;
• приказ фсб россии от 9 февраля 2005г. № 66 «об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)»;
• приказ фстэк от 18.02.2013 № 21 «об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказ федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «об утверждении требований и методов по обезличиванию персональных данных»;
• «инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утв. приказом фапси от 13 июня 2001г. №152;
• «методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 центра фсб россии (№149/7/2/6-432 от 31 марта 2015г.);
• иные нормативные правовые акты органов государственной власти российской федерации;
• политика информационной безопасности общества с ограниченной ответственностью «электронный полис».
настоящая политика распространяется на отношения по обработке и защите персональных данных, полученных ооо «электронный полис» как до, так и после утверждения настоящей политики, за исключением случаев, когда по причинам правового, организационного и иного характера настоящая политика об обработке и защите персональных данных не может быть распространена на отношения по обработке и защите персональных данных, полученных до ее утверждения.
положения политики служат основой для разработки организационно-распорядительных документов общества, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке в обществе.
2. термины, понятия и определения
в настоящей политике указанные ниже термины и определения имеют следующее значение:
• информация – сведения (сообщения, данные) независимо от формы их предоставления.
• персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). далее по тексту термин может употребляться как с заглавной, так и со строчной буквы (либо в виде аббревиатуры- сокращения «пдн»).
• политика – настоящая политика в отношении обработки персональных данных.
• оператор/работодатель/общество – общество с ограниченной ответственностью «лаборатория автоматизации бизнеса», самостоятельно или совместно с другими юридическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке действия (операции), совершаемые с персональными данными.
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение персональных данных.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
• неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществленная без использования средств автоматизации (неавтоматизированной), при условии, что следующие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
• работник – физическое лицо, вступившее в трудовые отношения с обществом.
• кандидаты – физические лица, претендующие на замещение вакантной должности в обществе и намеревающееся вступить с обществом в трудовые отношения.
• контрагенты – физические лица, с которыми общество вступает или намеревается вступить в договорные отношения, или физические лица-представители юридических лиц, с которыми общество вступает или намеревается вступить в договорные отношения.
• закон о персональных данных – федеральный закон «о персональных данных» № 152-фз от 27 июля 2006 года (с изменениями).
для целей настоящей политики персональные данные делятся на следующие категории:
- биометрические персональные данные (ст. 10 закона о персональных данных);
- специальные персональные данные (ст. 11 закона о персональных данных);
- иные персональные данные (все иные персональные данные, не подпадающие под перечисленные выше категории).
• биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
• специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• субъект персональных данных – работники, кандидаты и контрагенты общества, а также иные физические лица, обработка персональных данных которых осуществляется обществом в соответствии с настоящей политикой (далее по тексту – «субъект пдн» или во множественном числе – «субъекты пдн»).
• доступ к персональным данным – возможность получения персональных данных и их использование.
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• конфиденциальность персональных данных – обязанность лица, получившего доступ к персональным данным, не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• раскрытие персональных данных – действия, обуславливающие возможность ознакомления с персональными данными, обрабатываемыми в обществе;
• персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом путем дачи согласия на обработку персональных данных, разрешенных субъектом пдн для распространения.
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• роскомнадзор – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных).
• ответственный за обработку персональных данных – работник общества, назначенный ответственным за организацию обработки персональных данных приказом.
все должности, указанные в настоящей политике, определяются в соответствии с штатным расписанием общества, если иное специально не предусмотрено в настоящей политике.
3. правовые основания обработки персональных данных
правовыми основаниями обработки персональных данных являются следующие нормативные правовые акты:
• конституция российской федерации;
• гражданский кодекс российской федерации;
• трудовой кодекс российской федерации;
• налоговый кодекс российской федерации;
• кодекс российской федерации об административных правонарушениях;
• федеральный закон от 06.12.2011 № 402-фз «о бухгалтерском учете»;
• федеральный закон от 15.12.2001 № 167-фз «об обязательном пенсионном страховании в российской федерации»;
• федеральный закон от 01.04.1996 г. № 27-фз «об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• федеральный закон от 22.10.2004 г. № 125-фз «об архивном деле в российской федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью общества.
правовыми основаниями обработки персональных данных оператором – ооо «электронный полис» также являются:
• устав общества;
• договоры, заключаемые между обществом и субъектом персональных данных;
• договоры, заключаемые с компаниями-контрагентами;
• публичная оферта, размещенная на сайтах по поиску работы;
• согласие субъекта на обработку персональных данных.
4. принципы и цели обработки персональных данных
общество, являясь оператором персональных данных, осуществляет обработку персональных данных как своих работников, так и персональные данные работников других организаций и иных субъектов персональных данных, состоящих с обществом в прочих договорных отношениях.
обработка персональных данных в обществе осуществляется с соблюдением следующих принципов:
1) определение целей – сбор и обработка персональных данных должны ограничиваться достижением конкретных, справедливых и законных целей. не допускается дальнейшее использование персональных данных в целях, которые не были напрямую заявлены при сборе персональных данных. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2) ограничения на сбор персональных данных – сбор персональных данных должен осуществляться в объеме, необходимом для достижения целей, на основании закона и в надлежащем порядке; не допускается сбор излишних персональных данных. не допускается сбор персональных данных в целях, не соответствующих целям, заранее определенным и заявленным при сборе персональных данных. факт сбора и цели обработки персональных данных должны быть известны субъекту персональных данных;
3) достоверность и актуальность – персональные данные должны быть точными, актуальными и достоверными. необходимо своевременно и надлежащим образом исправлять неточности в сведениях, составляющих персональные данные. общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
4) ограничение доступа – доступ к персональным данным и их использование должны ограничиваться тем кругом лиц в обществе, которым требуется доступ в соответствии со служебной необходимостью;
5) хранение не дольше необходимого срока – персональные данные подлежат уничтожению (удалению) в случае утраты необходимости в них, их недостоверности или неточности. персональные данные хранятся в течение необходимого срока в соответствии с требованиями законодательства и иных нормативно-правовых актов, либо не дольше, чем этого требуют соответствующие законные цели;
6) надежная защита при хранении – персональные данные всегда должны быть надежно защищены при хранении как с использованием автоматизированных средств, так и без таковых. в информационных системах по управлению обработке данных должны быть предусмотрены соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, а также случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, в тех случаях, когда обработка требует передачи персональных данных по сети, равно как и от любых других незаконных форм обработки;
7) соблюдение применимого законодательства – любая обработка должна осуществляться в соответствии с применимым законодательством о защите данных и неприкосновенности личной жизни.
целями обработки персональных данных в обществе является:
1) обеспечение требований конституции российской федерации, законодательных и иных нормативных правовых актов российской федерации, локальных нормативных актов ооо «лаб»;
2) осуществление функций, полномочий и обязанностей, возложенных законодательством российской федерации на общество, в том числе по предоставлению персональных данных в органы государственной власти в интересах российской федерации, работников общества, контрагентов общества, и прочих граждан, вступивших в иные гражданско-правовые отношения с обществом;
3) предоставление работникам общества и членам их семей дополнительных гарантий, компенсаций, в том числе, негосударственного добровольного медицинского страхования, медицинского обслуживания и иных видов социального обеспечения;
4) защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
5) подготовка, заключения, исполнения и прекращения договоров с контрагентами;
6) формирование справочных материалов для внутреннего информационного обеспечения общества;
7) исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством российской федерации;
8) осуществление прав и законных интересов общества, в рамках осуществления видов деятельности, предусмотренных уставом ооо «электронный полис», иными локальными нормативными актами общества, либо достижения общественно значимых целях;
9) иные законные цели.
5. категории и состав обрабатываемых персональных данных
5.1. обществом обрабатываются персональные данные в отношении:
- работников и представителей контрагентов общества, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с обществом;
- кандидатов на работу и работников общества;
- уволенных работников общества, близких родственники/членов семьи работников
- потенциальных клиентов;
- физических лиц, заключивших с обществом гражданско-правовые договоры на оказание услуг;
- пользователей (посетителей) сайта общества;
- клиентов других юридических лиц, обработка персональных данных для которых
осуществляется по поручению указанных юридических лиц в соответствии с
законодательством российской федерации;
- лиц, наделенных правом подписи от имени общества (договоров, соглашений, актов и т.п.);
- участников общества;
- иным субъектам пдн, вступившим или намеревающимися вступить в договорные
отношения с обществом;
- посетители, пропускаемые на объекты ведения хозяйственной деятельности общества.
5.2. в обществе не допускается и не проводится обработка следующих персональных данных:
- персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- сведений, касающихся реализации лицом права на объединение, ведение коллективных переговоров или другой профсоюзной деятельности, принадлежности к той или иной общественной организации;
- сведений, касающихся участия лица в собраниях, митингах, демонстрациях, шествиях, пикетированиях либо осуществления других политических прав;
- сведений, являющихся биометрическими персональными данными.
5.3. общество не осуществляет намеренно обработку персональных данных лиц, не достигших совершеннолетнего возраста. в случае, если общество получит информацию о сведениях, являющихся персональными данными несовершеннолетнего лица без согласия его законных представителей, то указанная информация подлежит удалению в максимально короткие сроки.
5.4. в соответствии со ст. 10-11 закона о персональных данных, абзац 2 п. 5.1. не распространяется на ситуации, когда получено письменное согласие субъекта персональных данных, либо, когда это предусмотрено действующим законодательством.
5.5. объем обрабатываемых персональных данный по каждой категории субъекта определяется в «положении об обработке и защите персональных данных в обществе с ограниченной ответственностью «электронный полис».
6. обработка персональных данных
6.1. обработка персональных данных в обществе реализована следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.2. общество получает обрабатываемые персональные данные из следующих источников:
- непосредственно от самих субъектов персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- общедоступных источников персональных данных.
6.3. обработка персональных данных в обществе осуществляется исключительно на законных основаниях. во всех предусмотренных законодательством российской федерации случаях в обществе организуется получение в письменной форме согласия субъекта на обработку его персональных данных.
6.4. получение персональных данных от лица, не являющегося субъектом пдн, осуществляется при наличии следующих оснований:
- для достижения целей, предусмотренных законодательством российской федерации, или для осуществления и выполнения возложенных законодательством российской федерации на общество функций, полномочий и обязанностей;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект пдн, а также для заключения договора по инициативе субъекта пдн или договора, по которому субъект пдн будет являться выгодоприобретателем или поручителем;
- для осуществления прав и законных интересов общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта пдн;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом пдн либо по его просьбе (персональные данные, сделанные общедоступными субъектом);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.
6.5. обработка персональных данных в обществе осуществляется как с использованием средств автоматизации, так и без использования таких средств. способы обработки персональных данных в обществе включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение персональных данных.
6.6. в обществе не осуществляются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (т.е. не осуществляется распространение персональных данных).
6.7. общество не раскрывает и не предоставляет третьим лицам персональные данные без согласия субъекта пдн, полученного в требуемой законодательством российской федерации форме (за исключением случаев, предусмотренных законодательством).
6.8. для выполнения, возложенных законодательством российской федерации функций, полномочий и обязанностей, а также для достижения своих уставных целей и договорных обязательств, общество предоставляет часть обрабатываемых персональных данных:
- в пенсионный фонд российской федерации;
- в фонд социального страхования российской федерации;
- в федеральную налоговую службу российской федерации;
- в правоохранительные органы российской федерации (по запросу) и иные уполномоченные организации;
- в банки;
- в страховые компании.
настоящая политика обработки персональных данных (далее по тексту – политика) определяет основные принципы, цели, условия и способы обработки персональных данных общества с ограниченной ответственностью «электронный полис», перечни субъектов и способы обработки персональных данных, перечни субъектов и обрабатываемых в ооо «электронный полис» (далее - обществе) персональных данных, устанавливает процедуры и функции при обработке и защиты персональных данных, права субъектов персональных данных, а также реализуемые в обществе требования к защите персональных данных.
политика действует в отношении всех персональных данных, обрабатываемых в обществе, и служит основой для разработки организационно-распорядительных документов ооо «электронный полис», регулирующих процессы обработки и меры по обеспечению безопасности персональных данных в обществе.
во исполнении требований части 2 статьи 18.1 федерального закона от 27.07.2006 № 152-фз «о персональных данных», настоящая политика подлежит публикации в свободном доступе в информационно-телекоммуникационной сети «интернет» на сайте общества.
политика разработана с учетом требований законодательных и иных нормативных правовых актов российской федерации в области обработки персональных данных:
• конституция российской федерации;
• федеральный закон от 30.12.2001 № 197-фз «трудовой кодекс российской федерации»;
• федеральный закон от 30.11.1994 № 51-фз «гражданский кодекс российской федерации»;
• федеральный закон от 27.07.2006 № 149-фз «об информации, информационных технологиях и о защите информации»;
• федеральный закон рф от 27.11.1992 n 4015-1 «об организации страхового дела в российской федерации»;
• федеральный закон 27.07.2006 № 152-фз «о персональных данных»;
• федеральный закон от 02.12.1990 № 395-1 «о банках и банковской деятельности»;
• федеральный закон от 23.12.2003 № 177-фз «о страховании вкладов физических лиц в банках российской федерации»,
• федеральный закон от 30.12.2004 № 218-фз «о кредитных историях»;
• указ президента российской федерации от 06.03.1997 № 188 «об утверждении перечня конфиденциального характера»;
• постановление правительства рф от 15.09.2008 г. № 687 «об утверждении положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановление правительства российской федерации от 01.11.2012г. № 1119 «об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• «состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности», утв. приказом фсб россии от 10 июля 2014г. № 378;
• приказ фсб россии от 9 февраля 2005г. № 66 «об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)»;
• приказ фстэк от 18.02.2013 № 21 «об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказ федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 «об утверждении требований и методов по обезличиванию персональных данных»;
• «инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утв. приказом фапси от 13 июня 2001г. №152;
• «методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 центра фсб россии (№149/7/2/6-432 от 31 марта 2015г.);
• иные нормативные правовые акты органов государственной власти российской федерации;
• политика информационной безопасности общества с ограниченной ответственностью «электронный полис».
настоящая политика распространяется на отношения по обработке и защите персональных данных, полученных ооо «электронный полис» как до, так и после утверждения настоящей политики, за исключением случаев, когда по причинам правового, организационного и иного характера настоящая политика об обработке и защите персональных данных не может быть распространена на отношения по обработке и защите персональных данных, полученных до ее утверждения.
положения политики служат основой для разработки организационно-распорядительных документов общества, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке в обществе.
2. термины, понятия и определения
в настоящей политике указанные ниже термины и определения имеют следующее значение:
• информация – сведения (сообщения, данные) независимо от формы их предоставления.
• персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). далее по тексту термин может употребляться как с заглавной, так и со строчной буквы (либо в виде аббревиатуры- сокращения «пдн»).
• политика – настоящая политика в отношении обработки персональных данных.
• оператор/работодатель/общество – общество с ограниченной ответственностью «лаборатория автоматизации бизнеса», самостоятельно или совместно с другими юридическими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке действия (операции), совершаемые с персональными данными.
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение персональных данных.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
• неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществленная без использования средств автоматизации (неавтоматизированной), при условии, что следующие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
• работник – физическое лицо, вступившее в трудовые отношения с обществом.
• кандидаты – физические лица, претендующие на замещение вакантной должности в обществе и намеревающееся вступить с обществом в трудовые отношения.
• контрагенты – физические лица, с которыми общество вступает или намеревается вступить в договорные отношения, или физические лица-представители юридических лиц, с которыми общество вступает или намеревается вступить в договорные отношения.
• закон о персональных данных – федеральный закон «о персональных данных» № 152-фз от 27 июля 2006 года (с изменениями).
для целей настоящей политики персональные данные делятся на следующие категории:
- биометрические персональные данные (ст. 10 закона о персональных данных);
- специальные персональные данные (ст. 11 закона о персональных данных);
- иные персональные данные (все иные персональные данные, не подпадающие под перечисленные выше категории).
• биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
• специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• субъект персональных данных – работники, кандидаты и контрагенты общества, а также иные физические лица, обработка персональных данных которых осуществляется обществом в соответствии с настоящей политикой (далее по тексту – «субъект пдн» или во множественном числе – «субъекты пдн»).
• доступ к персональным данным – возможность получения персональных данных и их использование.
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
• конфиденциальность персональных данных – обязанность лица, получившего доступ к персональным данным, не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• раскрытие персональных данных – действия, обуславливающие возможность ознакомления с персональными данными, обрабатываемыми в обществе;
• персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом путем дачи согласия на обработку персональных данных, разрешенных субъектом пдн для распространения.
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• роскомнадзор – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных).
• ответственный за обработку персональных данных – работник общества, назначенный ответственным за организацию обработки персональных данных приказом.
все должности, указанные в настоящей политике, определяются в соответствии с штатным расписанием общества, если иное специально не предусмотрено в настоящей политике.
3. правовые основания обработки персональных данных
правовыми основаниями обработки персональных данных являются следующие нормативные правовые акты:
• конституция российской федерации;
• гражданский кодекс российской федерации;
• трудовой кодекс российской федерации;
• налоговый кодекс российской федерации;
• кодекс российской федерации об административных правонарушениях;
• федеральный закон от 06.12.2011 № 402-фз «о бухгалтерском учете»;
• федеральный закон от 15.12.2001 № 167-фз «об обязательном пенсионном страховании в российской федерации»;
• федеральный закон от 01.04.1996 г. № 27-фз «об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• федеральный закон от 22.10.2004 г. № 125-фз «об архивном деле в российской федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью общества.
правовыми основаниями обработки персональных данных оператором – ооо «электронный полис» также являются:
• устав общества;
• договоры, заключаемые между обществом и субъектом персональных данных;
• договоры, заключаемые с компаниями-контрагентами;
• публичная оферта, размещенная на сайтах по поиску работы;
• согласие субъекта на обработку персональных данных.
4. принципы и цели обработки персональных данных
общество, являясь оператором персональных данных, осуществляет обработку персональных данных как своих работников, так и персональные данные работников других организаций и иных субъектов персональных данных, состоящих с обществом в прочих договорных отношениях.
обработка персональных данных в обществе осуществляется с соблюдением следующих принципов:
1) определение целей – сбор и обработка персональных данных должны ограничиваться достижением конкретных, справедливых и законных целей. не допускается дальнейшее использование персональных данных в целях, которые не были напрямую заявлены при сборе персональных данных. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2) ограничения на сбор персональных данных – сбор персональных данных должен осуществляться в объеме, необходимом для достижения целей, на основании закона и в надлежащем порядке; не допускается сбор излишних персональных данных. не допускается сбор персональных данных в целях, не соответствующих целям, заранее определенным и заявленным при сборе персональных данных. факт сбора и цели обработки персональных данных должны быть известны субъекту персональных данных;
3) достоверность и актуальность – персональные данные должны быть точными, актуальными и достоверными. необходимо своевременно и надлежащим образом исправлять неточности в сведениях, составляющих персональные данные. общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
4) ограничение доступа – доступ к персональным данным и их использование должны ограничиваться тем кругом лиц в обществе, которым требуется доступ в соответствии со служебной необходимостью;
5) хранение не дольше необходимого срока – персональные данные подлежат уничтожению (удалению) в случае утраты необходимости в них, их недостоверности или неточности. персональные данные хранятся в течение необходимого срока в соответствии с требованиями законодательства и иных нормативно-правовых актов, либо не дольше, чем этого требуют соответствующие законные цели;
6) надежная защита при хранении – персональные данные всегда должны быть надежно защищены при хранении как с использованием автоматизированных средств, так и без таковых. в информационных системах по управлению обработке данных должны быть предусмотрены соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, а также случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, в тех случаях, когда обработка требует передачи персональных данных по сети, равно как и от любых других незаконных форм обработки;
7) соблюдение применимого законодательства – любая обработка должна осуществляться в соответствии с применимым законодательством о защите данных и неприкосновенности личной жизни.
целями обработки персональных данных в обществе является:
1) обеспечение требований конституции российской федерации, законодательных и иных нормативных правовых актов российской федерации, локальных нормативных актов ооо «лаб»;
2) осуществление функций, полномочий и обязанностей, возложенных законодательством российской федерации на общество, в том числе по предоставлению персональных данных в органы государственной власти в интересах российской федерации, работников общества, контрагентов общества, и прочих граждан, вступивших в иные гражданско-правовые отношения с обществом;
3) предоставление работникам общества и членам их семей дополнительных гарантий, компенсаций, в том числе, негосударственного добровольного медицинского страхования, медицинского обслуживания и иных видов социального обеспечения;
4) защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
5) подготовка, заключения, исполнения и прекращения договоров с контрагентами;
6) формирование справочных материалов для внутреннего информационного обеспечения общества;
7) исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством российской федерации;
8) осуществление прав и законных интересов общества, в рамках осуществления видов деятельности, предусмотренных уставом ооо «электронный полис», иными локальными нормативными актами общества, либо достижения общественно значимых целях;
9) иные законные цели.
5. категории и состав обрабатываемых персональных данных
5.1. обществом обрабатываются персональные данные в отношении:
- работников и представителей контрагентов общества, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с обществом;
- кандидатов на работу и работников общества;
- уволенных работников общества, близких родственники/членов семьи работников
- потенциальных клиентов;
- физических лиц, заключивших с обществом гражданско-правовые договоры на оказание услуг;
- пользователей (посетителей) сайта общества;
- клиентов других юридических лиц, обработка персональных данных для которых
осуществляется по поручению указанных юридических лиц в соответствии с
законодательством российской федерации;
- лиц, наделенных правом подписи от имени общества (договоров, соглашений, актов и т.п.);
- участников общества;
- иным субъектам пдн, вступившим или намеревающимися вступить в договорные
отношения с обществом;
- посетители, пропускаемые на объекты ведения хозяйственной деятельности общества.
5.2. в обществе не допускается и не проводится обработка следующих персональных данных:
- персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- сведений, касающихся реализации лицом права на объединение, ведение коллективных переговоров или другой профсоюзной деятельности, принадлежности к той или иной общественной организации;
- сведений, касающихся участия лица в собраниях, митингах, демонстрациях, шествиях, пикетированиях либо осуществления других политических прав;
- сведений, являющихся биометрическими персональными данными.
5.3. общество не осуществляет намеренно обработку персональных данных лиц, не достигших совершеннолетнего возраста. в случае, если общество получит информацию о сведениях, являющихся персональными данными несовершеннолетнего лица без согласия его законных представителей, то указанная информация подлежит удалению в максимально короткие сроки.
5.4. в соответствии со ст. 10-11 закона о персональных данных, абзац 2 п. 5.1. не распространяется на ситуации, когда получено письменное согласие субъекта персональных данных, либо, когда это предусмотрено действующим законодательством.
5.5. объем обрабатываемых персональных данный по каждой категории субъекта определяется в «положении об обработке и защите персональных данных в обществе с ограниченной ответственностью «электронный полис».
6. обработка персональных данных
6.1. обработка персональных данных в обществе реализована следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
6.2. общество получает обрабатываемые персональные данные из следующих источников:
- непосредственно от самих субъектов персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- общедоступных источников персональных данных.
6.3. обработка персональных данных в обществе осуществляется исключительно на законных основаниях. во всех предусмотренных законодательством российской федерации случаях в обществе организуется получение в письменной форме согласия субъекта на обработку его персональных данных.
6.4. получение персональных данных от лица, не являющегося субъектом пдн, осуществляется при наличии следующих оснований:
- для достижения целей, предусмотренных законодательством российской федерации, или для осуществления и выполнения возложенных законодательством российской федерации на общество функций, полномочий и обязанностей;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект пдн, а также для заключения договора по инициативе субъекта пдн или договора, по которому субъект пдн будет являться выгодоприобретателем или поручителем;
- для осуществления прав и законных интересов общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта пдн;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом пдн либо по его просьбе (персональные данные, сделанные общедоступными субъектом);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.
6.5. обработка персональных данных в обществе осуществляется как с использованием средств автоматизации, так и без использования таких средств. способы обработки персональных данных в обществе включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение персональных данных.
6.6. в обществе не осуществляются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (т.е. не осуществляется распространение персональных данных).
6.7. общество не раскрывает и не предоставляет третьим лицам персональные данные без согласия субъекта пдн, полученного в требуемой законодательством российской федерации форме (за исключением случаев, предусмотренных законодательством).
6.8. для выполнения, возложенных законодательством российской федерации функций, полномочий и обязанностей, а также для достижения своих уставных целей и договорных обязательств, общество предоставляет часть обрабатываемых персональных данных:
- в пенсионный фонд российской федерации;
- в фонд социального страхования российской федерации;
- в федеральную налоговую службу российской федерации;
- в правоохранительные органы российской федерации (по запросу) и иные уполномоченные организации;
- в банки;
- в страховые компании.
6.9. общество вправе поручить обработку персональных данных другому лицу с согласия субъекта пдн на основании заключаемого с этим лицом договора. договор должен содержать перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 федерального закона от 27.07.2006 № 152-фз «о персональных данных», обязанность по запросу оператора в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 закона «о персональных данных».
6.10. в обществе не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости субъектов пдн.
6.11. в обществе может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке в том числе передачи информационных и
рекламных сообщений путем осуществления прямых контактов
с помощью средств связи, предоставления информации об операторе, его продуктах и услугах, усовершенствования продуктов и (или) услуг, для разработки новых продуктов и (или) услуг, ведения статистики о пользователях сайта, обеспечения функционирования и улучшения качества сайта, улучшения программного обеспечения общества может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия субъекта пдн;
6.12. общество не осуществляет трансграничную передачу персональных данных.
6.13. используемые обществом базы данных информации, содержащей персональные данные граждан российской федерации, располагаются и обрабатываются на территории российской федерации.
6.14. в обществе не принимаются решения, порождающие юридические последствия в отношении субъекта пдн или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
6.15. обработка персональных данных в обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных.
7. хранение персональных данных
хранение персональных данных в обществе реализуется следующим образом:
1) в обществе организуется хранение персональных данных как на бумажных, так и на электронных носителях.
2) хранение персональных данных реализуется обществом в течение времени, установленного требованиями законодательства, а также, в отдельных случаях, в течение времени, установленного договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3) при достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных данных, обрабатываемые персональные данные уничтожаются.
4) при хранении персональных данных на бумажных носителях, главным условием хранения самих бумажных носителей персональных данных является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.
5) совместное хранение носителей персональных данных с другими документами, не содержащими персональные данные запрещается. исключением является факт того, что, носители персональных данных являются приложениями к другим документам или наоборот.
6) ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех работников общества, допущенных к обработке персональных данных, а контроль их выполнения возлагается на ответственного за обработку персональных данных.
7) работники общества, имеющие доступ к персональным данным субъектов пдн в связи с исполнением должностных обязанностей, обязаны обеспечивать хранение информации, содержащей персональные данные субъектов, исключающее неправомерный или случайный доступ к ним.
8) общество блокирует обрабатываемые персональные данные при выявлении их недостоверности или неправомерных действий в отношении субъекта пдн по требованию субъекта пдн, его законного представителя или роскомнадзора или в результате проведения внутренних контрольных мероприятий.
8. уничтожение персональных данных
персональные данные, цель обработки которых достигнута, подлежат уничтожению, если более длительный срок их хранения не предусмотрен действующим законодательством российской федерации. уничтожение персональных данных производится комиссионно. процедура уничтожения персональных данных в обществе производится следующим образом:
8.1. при уничтожении персональных данных необходимо уничтожить соответствующие носители таким образом, чтобы восстановление содержания персональных данных стало невозможным. уничтожение бумажных носителей персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров).
8.2. при утилизации компьютера или носителя информации, на котором записаны персональные данные, должно использоваться специальное программное обеспечение или оборудование специализированного программно-аппаратного комплекса, предназначенное для полного разрушения персональных данных, или же данный носитель информации должен быть физически уничтожен до его утилизации.
8.3. порядок, условия, сроки уничтожения персональных данных и ответственное лицо за уничтожение персональных данных в обществе устанавливаются локальными документами общества.
9. права и обязанности субъектов персональных данных
субъекты персональных данных по отношению к обществу имеют следующие права и обязанности:
9.1. субъекты принимают решение о предоставлении своих персональных данных обществу в случаях, установленных законом о персональных данных, дают согласие на их обработку своей волей и в своих интересах.
9.2. при коммуникации с обществом посредством сети интернет, субъект осознано и своей волей может проводить заполнение форм для регистрации или соглашаться с обработкой его персональных данных и технической информации устройства, с помощью которого им осуществлено посещение сайта общества, расположенному в информационно-телекоммуникационной сети интернет. заполнение форм субъектом пдн проводится после ознакомления с настоящей политикой, опубликованной на сайте общества. субъект пдн считается предоставившим согласие на обработку своих персональных данных в момент установки соответствующего символа, подтверждающего согласие «» после своего согласия с настоящей политикой. субъект пдн имеет право не согласиться с представленной на сайте политикой. в случае несогласия, обработка персональных данных субъекта не производится, дальнейшее взаимодействие с сайтом на уровне обработки персональных данных не предоставляется.
9.3. субъект, персональные данные которого обрабатываются обществом, имеет право на доступ к своим персональным данным.
9.4. субъектам персональных данных, если иное не предусмотрено законодательством российской федерации, предоставлено право на получение следующей информации о собственных персональных данных по письменному запросу:
1) подтверждение факта обработки персональных данных обществом;
2) получение от общества правовых оснований и целей обработки персональных данных;
3) получение от общества разъяснений целей и применяемых обществом способов обработки персональных данных;
4) получение информации в отношении наименования и местонахождения общества, информации о лицах (кроме работников общества), имеющих доступ к персональным данным или которым персональные данные могут быть раскрыты на основании договора с обществом или на основании действующего законодательства российской федерации;
5) информации об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник этих данных, если иной порядок представления таких данных не предусмотрен действующим законодательством;
6) информации о сроках обработки персональных данных, включая срок хранения данных;
7) сведения о порядке осуществления субъектом персональных данных своих прав, предусмотренных законом о персональных данных;
8) информации о совершенной или предполагаемой трансграничной передаче персональных данных;
9) наименования или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по просьбе общества, если такому лицу была или будет поручена такая обработка данных;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 закона о персональных данных;
11) другую информацию, предусмотренную законом о персональных данных или другими федеральными законами.
9.5. если субъект пдн считает, что общество осуществляет обработку его персональных данных с нарушением требований законодательства российской федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.6. субъект персональных данных, являющийся работником общества, в частности, имеет право:
1) пользоваться свободным доступом к своим персональным данным; при этом субъект персональных данных имеет право на получение копии любого документа, содержащего его персональные данные, если иное не предусмотрено законодательством;
2) выбирать представителей для защиты своих персональных данных;
3) требовать от общества исправления или дополнения ошибочных, недостоверных, устаревших или неполных персональных данных.
9.7. субъект персональных данных, являющийся работником общества, в частности, обязан:
1) передавать обществу или своему представителю точные и документально подтвержденные персональные данные в установленном российским законодательством порядке;
2) своевременно и в разумные сроки информировать общество об изменениях своих персональных данных.
10. меры по обеспечению безопасности персональных данных при их обработке
10.1. при обработке персональных данных общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. обеспечение безопасности персональных данных достигается обществом самостоятельно, в частности, это может осуществляться применением следующих мер:
- назначение обществом ответственного за обработку персональных данных;
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- организацию обучения и проведения методической работы с работниками общества, занимающими должности, включенные на основании приказа общества в перечень должностей структурных подразделений общества, при замещении которых осуществляется обработка персональных данных;
- получение согласий на обработку персональных данных на обработку персональных данных, за исключением случаем, предусмотренных действующим законодательством российской федерации;
- информирование субъектов персональных данных о методах, средствах обработки и принимаемых обществом мерах по защите персональных данных, в том числе, публикацией и обеспечением свободного, неограниченного доступа к настоящей политике на сайте общества;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства российской федерации;
- осуществление обработки персональных данных без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии информационных систем);
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети интернет без установленных в обществе мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или)обезличенных персональных данных);
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства российской федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством российской федерации;
- ознакомление работников общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства российской федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии таких информационных систем), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные правительством российской федерации уровни защищенности персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (при наличии таких информационных систем);
- учет средств защиты информации, включая машинные носители персональных данных;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (при наличии таких информационных систем);
• проведение инструктажа по информационной безопасности;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (при наличии таких информационных систем).
10.3. использование и хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии их хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. обязанности работников, ответственных за обработку персональных данных
работники общества, допущенные к обработке персональных данных, обязаны:
- знать и неукоснительно выполнять положения законодательства российской федерации в области персональных данных, настоящей политики, локальных актов по вопросам обработки персональных данных;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- не разглашать персональные данные, обрабатываемые в обществе;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей политики;
- сообщать об известных фактах нарушения требований настоящей политики лицу, ответственному за организацию обработки персональных данных в обществе.
12. ответственность
12.1. контроль за соблюдением структурными подразделениями общества законодательства российской федерации, локальных нормативных документов общества в области обработки персональных данных, в том числе, и к требований к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных в обществе законодательству российской федерации в области обработки персональных данных, в том числе требованиям к защите персональных данных, а также принятия мер, направленных на предотвращение и выявление нарушений законодательства российской федерации, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. внутренний контроль, за соблюдением требований настоящей политики осуществляет лицо, назначенное ответственным за обработку персональных данных.
12.3. руководители структурных подразделений, осуществляющих обработку персональных данных несут персональную ответственность за соблюдение структурными подразделениями требований законодательства российской федерации, локальных нормативных актов общества в области обработки персональных данных, в том числе, требований к защите персональных данных.
12.4. работники несут ответственность за соблюдение требование политики в соответствии с законодательством российской федерации.
13. заключительные положения
настоящий документ подлежит пересмотру в случае внесения изменений в законодательство российской федерации в сфере персональных данных, если положения настоящей политики вступают в противоречие с законодательством российской федерации. положения политики, противоречащие законодательству российской федерации, в таком случае не подлежат применению.
6.10. в обществе не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости субъектов пдн.
6.11. в обществе может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке в том числе передачи информационных и
рекламных сообщений путем осуществления прямых контактов
с помощью средств связи, предоставления информации об операторе, его продуктах и услугах, усовершенствования продуктов и (или) услуг, для разработки новых продуктов и (или) услуг, ведения статистики о пользователях сайта, обеспечения функционирования и улучшения качества сайта, улучшения программного обеспечения общества может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия субъекта пдн;
6.12. общество не осуществляет трансграничную передачу персональных данных.
6.13. используемые обществом базы данных информации, содержащей персональные данные граждан российской федерации, располагаются и обрабатываются на территории российской федерации.
6.14. в обществе не принимаются решения, порождающие юридические последствия в отношении субъекта пдн или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
6.15. обработка персональных данных в обществе осуществляется не дольше, чем этого требуют цели обработки персональных данных.
7. хранение персональных данных
хранение персональных данных в обществе реализуется следующим образом:
1) в обществе организуется хранение персональных данных как на бумажных, так и на электронных носителях.
2) хранение персональных данных реализуется обществом в течение времени, установленного требованиями законодательства, а также, в отдельных случаях, в течение времени, установленного договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3) при достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных данных, обрабатываемые персональные данные уничтожаются.
4) при хранении персональных данных на бумажных носителях, главным условием хранения самих бумажных носителей персональных данных является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.
5) совместное хранение носителей персональных данных с другими документами, не содержащими персональные данные запрещается. исключением является факт того, что, носители персональных данных являются приложениями к другим документам или наоборот.
6) ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех работников общества, допущенных к обработке персональных данных, а контроль их выполнения возлагается на ответственного за обработку персональных данных.
7) работники общества, имеющие доступ к персональным данным субъектов пдн в связи с исполнением должностных обязанностей, обязаны обеспечивать хранение информации, содержащей персональные данные субъектов, исключающее неправомерный или случайный доступ к ним.
8) общество блокирует обрабатываемые персональные данные при выявлении их недостоверности или неправомерных действий в отношении субъекта пдн по требованию субъекта пдн, его законного представителя или роскомнадзора или в результате проведения внутренних контрольных мероприятий.
8. уничтожение персональных данных
персональные данные, цель обработки которых достигнута, подлежат уничтожению, если более длительный срок их хранения не предусмотрен действующим законодательством российской федерации. уничтожение персональных данных производится комиссионно. процедура уничтожения персональных данных в обществе производится следующим образом:
8.1. при уничтожении персональных данных необходимо уничтожить соответствующие носители таким образом, чтобы восстановление содержания персональных данных стало невозможным. уничтожение бумажных носителей персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров).
8.2. при утилизации компьютера или носителя информации, на котором записаны персональные данные, должно использоваться специальное программное обеспечение или оборудование специализированного программно-аппаратного комплекса, предназначенное для полного разрушения персональных данных, или же данный носитель информации должен быть физически уничтожен до его утилизации.
8.3. порядок, условия, сроки уничтожения персональных данных и ответственное лицо за уничтожение персональных данных в обществе устанавливаются локальными документами общества.
9. права и обязанности субъектов персональных данных
субъекты персональных данных по отношению к обществу имеют следующие права и обязанности:
9.1. субъекты принимают решение о предоставлении своих персональных данных обществу в случаях, установленных законом о персональных данных, дают согласие на их обработку своей волей и в своих интересах.
9.2. при коммуникации с обществом посредством сети интернет, субъект осознано и своей волей может проводить заполнение форм для регистрации или соглашаться с обработкой его персональных данных и технической информации устройства, с помощью которого им осуществлено посещение сайта общества, расположенному в информационно-телекоммуникационной сети интернет. заполнение форм субъектом пдн проводится после ознакомления с настоящей политикой, опубликованной на сайте общества. субъект пдн считается предоставившим согласие на обработку своих персональных данных в момент установки соответствующего символа, подтверждающего согласие «» после своего согласия с настоящей политикой. субъект пдн имеет право не согласиться с представленной на сайте политикой. в случае несогласия, обработка персональных данных субъекта не производится, дальнейшее взаимодействие с сайтом на уровне обработки персональных данных не предоставляется.
9.3. субъект, персональные данные которого обрабатываются обществом, имеет право на доступ к своим персональным данным.
9.4. субъектам персональных данных, если иное не предусмотрено законодательством российской федерации, предоставлено право на получение следующей информации о собственных персональных данных по письменному запросу:
1) подтверждение факта обработки персональных данных обществом;
2) получение от общества правовых оснований и целей обработки персональных данных;
3) получение от общества разъяснений целей и применяемых обществом способов обработки персональных данных;
4) получение информации в отношении наименования и местонахождения общества, информации о лицах (кроме работников общества), имеющих доступ к персональным данным или которым персональные данные могут быть раскрыты на основании договора с обществом или на основании действующего законодательства российской федерации;
5) информации об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник этих данных, если иной порядок представления таких данных не предусмотрен действующим законодательством;
6) информации о сроках обработки персональных данных, включая срок хранения данных;
7) сведения о порядке осуществления субъектом персональных данных своих прав, предусмотренных законом о персональных данных;
8) информации о совершенной или предполагаемой трансграничной передаче персональных данных;
9) наименования или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по просьбе общества, если такому лицу была или будет поручена такая обработка данных;
10) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 закона о персональных данных;
11) другую информацию, предусмотренную законом о персональных данных или другими федеральными законами.
9.5. если субъект пдн считает, что общество осуществляет обработку его персональных данных с нарушением требований законодательства российской федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.6. субъект персональных данных, являющийся работником общества, в частности, имеет право:
1) пользоваться свободным доступом к своим персональным данным; при этом субъект персональных данных имеет право на получение копии любого документа, содержащего его персональные данные, если иное не предусмотрено законодательством;
2) выбирать представителей для защиты своих персональных данных;
3) требовать от общества исправления или дополнения ошибочных, недостоверных, устаревших или неполных персональных данных.
9.7. субъект персональных данных, являющийся работником общества, в частности, обязан:
1) передавать обществу или своему представителю точные и документально подтвержденные персональные данные в установленном российским законодательством порядке;
2) своевременно и в разумные сроки информировать общество об изменениях своих персональных данных.
10. меры по обеспечению безопасности персональных данных при их обработке
10.1. при обработке персональных данных общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. обеспечение безопасности персональных данных достигается обществом самостоятельно, в частности, это может осуществляться применением следующих мер:
- назначение обществом ответственного за обработку персональных данных;
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- организацию обучения и проведения методической работы с работниками общества, занимающими должности, включенные на основании приказа общества в перечень должностей структурных подразделений общества, при замещении которых осуществляется обработка персональных данных;
- получение согласий на обработку персональных данных на обработку персональных данных, за исключением случаем, предусмотренных действующим законодательством российской федерации;
- информирование субъектов персональных данных о методах, средствах обработки и принимаемых обществом мерах по защите персональных данных, в том числе, публикацией и обеспечением свободного, неограниченного доступа к настоящей политике на сайте общества;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства российской федерации;
- осуществление обработки персональных данных без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии информационных систем);
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети интернет без установленных в обществе мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или)обезличенных персональных данных);
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства российской федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством российской федерации;
- ознакомление работников общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства российской федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии таких информационных систем), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные правительством российской федерации уровни защищенности персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (при наличии таких информационных систем);
- учет средств защиты информации, включая машинные носители персональных данных;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (при наличии таких информационных систем);
• проведение инструктажа по информационной безопасности;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (при наличии таких информационных систем).
10.3. использование и хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии их хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. обязанности работников, ответственных за обработку персональных данных
работники общества, допущенные к обработке персональных данных, обязаны:
- знать и неукоснительно выполнять положения законодательства российской федерации в области персональных данных, настоящей политики, локальных актов по вопросам обработки персональных данных;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- не разглашать персональные данные, обрабатываемые в обществе;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей политики;
- сообщать об известных фактах нарушения требований настоящей политики лицу, ответственному за организацию обработки персональных данных в обществе.
12. ответственность
12.1. контроль за соблюдением структурными подразделениями общества законодательства российской федерации, локальных нормативных документов общества в области обработки персональных данных, в том числе, и к требований к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных в обществе законодательству российской федерации в области обработки персональных данных, в том числе требованиям к защите персональных данных, а также принятия мер, направленных на предотвращение и выявление нарушений законодательства российской федерации, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. внутренний контроль, за соблюдением требований настоящей политики осуществляет лицо, назначенное ответственным за обработку персональных данных.
12.3. руководители структурных подразделений, осуществляющих обработку персональных данных несут персональную ответственность за соблюдение структурными подразделениями требований законодательства российской федерации, локальных нормативных актов общества в области обработки персональных данных, в том числе, требований к защите персональных данных.
12.4. работники несут ответственность за соблюдение требование политики в соответствии с законодательством российской федерации.
13. заключительные положения
настоящий документ подлежит пересмотру в случае внесения изменений в законодательство российской федерации в сфере персональных данных, если положения настоящей политики вступают в противоречие с законодательством российской федерации. положения политики, противоречащие законодательству российской федерации, в таком случае не подлежат применению.
Общество с ограниченной ответственностью
"Электронный полис"
ИНН 7728829251
ОГРН 1127747280451
КПП 770301001
Заполните форму, чтобы подключить FAST
Заполните форму, чтобы подключить FAST