1. ТЕРМИНЫ
В настоящем документе используются следующие термины и их определения.
Аутентификация – проверка подлинности предъявленного пользователем идентификатора
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Посетитель – пользователь интернет-сайта.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Система защиты персональных данных – совокупность организационных мер и средств защиты информации, включающих средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, а также используемые в информационной системе информационные технологии.
Средство криптографической защиты информации – средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Субъекты персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных, (потенциальный) работник, (потенциальный) клиент, контрагент, иное физическое лицо.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Политика в отношении обработки персональных данных в ООО «Бастион» (далее – Компания) разработана в целях выполнения требований Федерального закона от 27 июля 2006 года № 152-ФЗ и иных нормативных актов, регулирующих порядок обработки персональных данных.
2.2. Настоящая Политика определяет принципы и правила обработки ПДн в ООО «Бастион» и является общедоступным документом.
2.3. Политика раскрывает основные категории субъектов ПДн, обрабатываемых Оператором, цели, условия и порядок обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.
2.4. Актуализация данной Политики производится в случае изменения законодательства РФ или применяемой системы защиты персональных данных.
3. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ ПЕРСОНАЛЬНЫХ ДАННЫХНа основании Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.09.2022 № 209 ООО «Бастион» внесено в реестр оператор персональных данных под регистрационным номером: 77-22-091706.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХПравовыми основаниями обработки ПДн Компанией являются:
– Конституция Российской Федерации;
– Гражданский кодекс Российской Федерации;
– Федеральный закон от 31.07.1998 №146-ФЗ «Налоговый кодекс Российской федерации»;
– Федеральный закон от 30.12.2001 № 197-ФЗ «Трудовой кодекс Российской Федерации»;
– Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5. УСЛОВИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. Компания осуществляет обработку ПДн при следующих условиях:
5.1.1. Обработка ПДн необходима для достижения целей, предусмотренных законодательством РФ;
5.1.2. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
5.1.3. Обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;
5.1.4. Обработка ПДн необходима для осуществления прав и законных интересов Компании, третьих лиц или достижения общественно значимых целей при условии, если не нарушаются права и свободы субъекта ПДн;
5.1.5. Обработка ПДн осуществляется при условии обязательного обезличивания ПДн в статистических или иных исследовательских целях.
5.2. Компания может привлекать для обработки ПДн третьих лиц в случае:
5.2.1. наличия согласия субъекта ПДн на данные действия;
5.2.2. наличия договора между Компанией и третьим лицом;
5.2.3. если объем передаваемых третьему лицу ПДн и способы их обработки минимальны;
5.2.4. если третьим лицом соблюдаются условия соблюдения конфиденциальности и обеспечения безопасности ПДн.
5.3. Основными принципами обработки ПДн являются:
5.3.1. Законная и справедливая основа;
5.3.2. Достижение конкретных, заранее определенных целей;
5.3.3. Недопустимость объединения несовместимых между собой баз данных;
5.3.4. Соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки;
5.3.5. Обеспечение точности, достаточности и актуальности по отношению к целям обработки ПДн.
6. ЦЕЛИ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Компания осуществляет обработку ПДн для достижения следующих целей:
– регулирование трудовых отношений между Компанией и работниками;
– регулирование отношений между Компанией и субъектами ПДн, работающими по договорам гражданско-правового характера;
– соблюдение законодательства в области обработки ПДн.
6.2. Обработку ПДн осуществляют только работники Компании, допущенные в соответствии с их должностными (трудовыми) обязанностями, которые соблюдают конфиденциальность и обеспечивают безопасность ПДн при их обработке.
6.3. Компания применяет автоматизированную обработку и неавтоматизированную обработку ПДн с использованием бумажного документооборота. Хранение ПДн субъектов ПДн осуществляется в соответствии с внутренними документами Компании.
6.4. Компания сохраняет конфиденциальность ПДн субъекта ПДн кроме общедоступных ПДн.
7. КАТЕГОРИИ СУБЪЕКТОВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ7.1. Компания обрабатывает ПДн субъектов следующих категорий:
– Работники, вступившие в трудовые отношения с Компанией, соискатели работы, бывшие работники, физические лица, имеющие договорные (преддоговорные) отношения гражданско-правового характера, практиканты;
– Клиенты Компании – физические лица, индивидуальные предприниматели, юридические лица, государственные органы, заключившие договоры по оказанию услуг или поставку товаров или находящиеся на преддоговорном этапе.
8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ8.1. Субъект ПДн имеет право:
– принимать решение о предоставлении своих ПДн;
– давать согласие на обработку своих ПДн;
– отзывать согласие на обработку своих ПДн;
– запрашивать и получать информацию, касающуюся обработки своих ПДн;
– требовать уточнения (исправления), блокирования или уничтожения своих ПДн;
– запрашивать доступ к своим обрабатываемым ПДн для ознакомления;
– требовать прекращения обработки своих ПДн;
– требовать разъяснений своих прав и обязанностей в области защиты ПДн;
– определить своих Представителей для защиты своих ПДн;
– требовать извещения всех третьих лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн;
– требовать исключения из общедоступных ресурсов Компании своих ПДн;
– требовать возмещения убытков и (или) компенсации морального вреда в судебном порядке;
– обжаловать действия или бездействие в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.
8.2. Субъект ПДн обязан предоставить полные, достоверные данные о себе.
9. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ9.1. Компания имеет право:
– осуществлять проверку достоверности предоставленных сведений о субъекте ПДн.
– при наличии законных оснований осуществлять обработку ПДн без согласия субъекта.
9.2. Компания обязана:
– предоставить субъекту формы согласий на обработку ПДн;
– разъяснить субъекту последствия отказа предоставить свои ПДн;
– обеспечивать конфиденциальность ПДн, за исключением случаев обезличивания и в отношении общедоступных ПДн;
– безвозмездно предоставить субъекту возможность ознакомления с его ПДн по его просьбе (письменному запросу), информацию, касающуюся обработки его ПДн;
– если ПДн были получены не от субъекта, предварительно уведомить его о начале обработки;
– прекратить обработку ПДн субъекта и уничтожить их по его требованию, если иное не предусмотрено законодательством Российской Федерации;
– блокировать ПДн при выявлении недостоверных ПДн или неправомерных действий с ними;
– уничтожить ПДн при подтверждении факта недостоверности ПДн;
– устранить допущенные нарушения при выявлении неправомерных действий с ПДн, при невозможности устранения нарушений уничтожить ПДн с обязательным уведомлением субъекта ПДн и тех лиц, которым ПДн этого субъекта были переданы, в письменной форме;
– незамедлительно прекратить обработку ПДн и уничтожить соответствующие данные при достижении цели обработки ПДн, если иное не предусмотрено законодательством Российской Федерации.
10. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ10.1. Компания осуществляет обработку ПДн исходя из условий и принципов, представленных в разделе 5 настоящей Политики.
10.2. Сбор ПДн осуществляется непосредственно от самого субъекта ПДн. Если собираемые ПДн возможно получить только от третьих лиц, субъект ПДн перед сбором сведений уведомляется и с него берется согласие на данные действия.
10.3. Компания не обрабатывает и не собирает данные о политических, религиозных и иных убеждениях и частной жизни субъекта, о членстве в общественных объединениях и профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
10.4. Компания начинает обработку ПДн клиента только после получения от него письменного согласия.
10.5. Хранение ПДн реализовано в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
10.6. При достижении целей обработки или в случае утраты необходимости в их достижении ПДн и материальные носители уничтожаются.
10.7. Черновые редакции документов, испорченные бланки документов, листы со служебными записями уничтожаются в бумагорезательных машинах.
10.8. Передача ПДн третьим лицам (юридическим и/или физическим лицам) возможна только с письменного согласия субъекта ПДн.
10.9. При передаче ПДн третьим лицам в порядке, установленном законодательством РФ, Компания ограничивает предаваемые ПДн только теми ПДн, которые необходимы для выполнения их функций.
10.10. Компания предоставляет (передает) сведения, содержащие ПДн субъектов, в Пенсионный фонд РФ, Федеральную налоговую службу по телекоммуникационным каналам связи, используя средства криптографической защиты информации для исключения случаев неправомерного или случайного доступа к информации с целью уничтожения, изменения, блокирования, копирования, распространения информации (ПДн).
10.11. Передача ПДн субъектов в пределах Компании возможна только тем работникам, которые допущены к работе с ПДн. Все работники, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн.
10.12. Передача (распространение) информации, содержащей ПДн клиентов, осуществляется в закрытом виде (в запечатанных конвертах) или иным способом, обеспечивающим ее конфиденциальность.
10.13. Трансграничная передача ПДн на территорию иностранного государства допускается без согласия субъекта, если на его территории обеспечивается адекватная защита ПДн, и при условии заблаговременного уведомления уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.
11. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ11.1. Компания обеспечивает конфиденциальность полученных ПДн путем применения организационных и технических мер для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
11.2. Все реализуемые мероприятия по организационной и технической защите осуществляются на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки ПДн.
11.3. Работники Компании не раскрывают третьим лицам и не распространяют данные субъектов без их согласия, если иное не предусмотрено законодательством Российской Федерации.
11.4. Все работники Компании обеспечивают конфиденциальность ПДн, а также иных сведений, установленных Компанией, если это не противоречит действующему законодательству Российской Федерации.
11.5. Применяемые организационные и технические меры по защите ПДн:
– назначение ответственных за организацию обработки и обеспечение безопасности ПДн;
– издание локальных нормативных актов по вопросам обработки и защиты ПДн, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– определение перечня должностей, при замещении которых осуществляется обработка ПДн;
– организация обучения, оказание методической помощи, ознакомление под подпись работников, осуществляющих обработку ПДн, с фактом участия в обработке ПДн, а также с правилами обработки и защиты ПДн;
– обеспечение регистрации и учета совершаемых с ПДн действий;
– ведение учета исполнения обращений субъектов;
– передача внутри Компании только между лицами, занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка ПДн;
– размещение обработки ПДн в границах охраняемой территории, а также организацией физической защиты носителей, мест и средств их обработки;
– организация доступа в помещения, используемые для обработки ПДн и/или хранения их материальных носителей;
– определение угроз безопасности, разработка и установлением правил доступа к ПДн;
– составление типовых форм для сбора ПДн таким образом, чтобы каждый из субъектов имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн;
– внесение в типовые формы, предусматривающие указание в них ПДн, полей, в которых субъект имел бы возможность проставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку ПДн);
– применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию ИСПДн;
– учет машинных носителей и контроль за их обращением в целях исключения утраты, хищения, подмены, несанкционированного копирования или уничтожения;
– обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
– восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
– своевременное обнаружение фактов несанкционированного доступа к ПДн и принятие необходимых мер;
– недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
– установление правил доступа к ПДн? а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
– контроль за принимаемыми мерами по обеспечению безопасности и уровнtv защищенности ИСПДн.
11.6. В состав мер по обеспечению безопасности ПДн, реализуемых Компанией в рамках системы защиты с учетом актуальных угроз безопасности и применяемых информационных технологий, входят:
– идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
– управление доступом субъектов доступа к объектам доступа (УПД);
– ограничение программной среды (ОПС);
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (ЗНИ);
– регистрация событий безопасности (РСБ);
– антивирусная защита (АВЗ);
– контроль (анализ) защищенности персональных данных (АНЗ);
– обеспечение целостности информационной системы и персональных данных (ОЦЛ);
– обеспечение доступности персональных данных (ОДТ);
– защита среды виртуализации (ЗСВ);
– защита технических средств (ЗТС);
– защита информационной системы, ее средств, систем связи и передачи данных (ЗИС);
– выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы или к возникновению угроз безопасности персональных данных, и реагирование на них (ИНЦ);
– управление конфигурацией информационной системы и системы защиты персональных данных (УКФ).
11.7. В целях обеспечения соответствия уровня защиты ПДн требованиям законодательства Российской Федерации Компания не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения безопасности.
11.8. Компания обязуется не разглашать полученную от субъектов информацию. Не считается нарушением предоставление Компанией информации третьим лицам, действующим на основании договора с Компанией, для исполнения обязательств перед субъектом. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями законодательства Российской Федерации.
12. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE12.1. Интернет-сайты Компании используют файлы Cookie. Сайты Компании предупреждают посетителей об использовании таких файлов и отслеживании действий пользователей.
12.2. Файлы Cookie, используемые на веб-сайтах Компании, подразделяются на 3 категории:
– обязательные файлы Cookie, которые требуются для просмотра веб-сайтов Компании и использования их функций и обеспечивающие работоспособность основных функций сайта.
– файлы Сookie, которые осуществляют сбор информации об использовании веб-сайтов, например, о наиболее часто посещаемых страницах. Указанные данные используются для оптимизации веб-сайтов и упрощения навигации, отслеживания действий посетителя на сайте. Указанная информация, собранная с помощью таких файлов cookie, предназначена только для статистических целей и остается анонимной.
– настроечные файлы Cookie, которые позволяют веб-сайтам Компании запомнить сделанный посетителем выбор при просмотре сайта, могут использоваться для запоминания других настраиваемых параметров сайта. Указанные файлы также могут использоваться для отслеживания рекомендуемых продуктов во избежание повторения. Информация, предоставляемая такими файлами Cookie, не позволяет идентифицировать посетителя сайта.
12.3. Продолжая работу на сайте после получения уведомления, посетитель выражает свое согласие Компании на автоматизированную обработку его персональных данных (файлы Cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, его IP адреса, дате и времени сессии), в том числе полученных с использованием сервисов веб-аналитики, с правом совершения любых действий по их обработке, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передачу (предоставление, доступ) партнёрам Компании, предоставляющим сервис по указанным метрическим программам.
12.4. Обработка персональных данных осуществляется в целях улучшения работы сайта, совершенствования продуктов и услуг Компании и её партнеров, определения предпочтений посетителя, предоставления целевой информации и коммерческих предложений по продуктам и услугам Компании и её партнёров. Согласие действует с момента его предоставления и в течение всего периода использования сайта и может быть отозвано посетителем в любой момент посредством направления соответствующего уведомления Оператору. Пользователь извещен, что в случае отказа от обработки персональных данных, полученных с использованием файлов Cookie, необходимо установить специальные настройки в браузере или обратится в техническую поддержку производителя браузера.
13. ОТВЕТСТВЕННОСТЬ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ13.1. Компания несет ответственность за разработку, введение и действие соответствующих требованиям законодательства Российской Федерации норм, регламентирующих получение, обработку и защиту ПДн. Компания закрепляет персональную ответственность работников за соблюдением установленного в Компании режима конфиденциальности.
13.2. Руководители структурных и обособленных структурных подразделений несут персональную ответственность за соблюдение Работниками его подразделения норм, регламентирующих получение, обработку и защиту ПДн.
13.3. Каждый работник Компании, получающий для работы документ, содержащий ПДн, несет единоличную ответственность за сохранность носителя и конфиденциальность ПДн.
13.4. Работники Компании несут ответственность за все действия, совершенные от имени их учетных записей, если не доказан факт несанкционированного использования учетных записей.
13.5. Работники Компании, выполняющие функции операторов в ИСПДн несут ответственность, установленную действующим законодательством Российской Федерации.
13.6. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско‑правовую или уголовную ответственность в соответствии с федеральными законами.
13.7. Компания не несет ответственности за убытки и иные затраты, понесенные субъектами ПДн в результате предоставления ими недостоверных и неполных ПДн.