Политика обработки персональных данных в ФГУП «ЗащитаИнфоТранс»

(Утверждена приказом №2312-09-О от 15.12.2023)

1. Назначение и область распространения документа
1.1. ФГУП «ЗащитаИнфоТранс» ИНН 7708083600, расположенное по адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664 (далее – Предприятие, Оператор) в рамках выполнения своей деятельности осуществляет обработку персональных данных и является оператором персональных данных с соответствующими правами и обязанностями.
1.2. Настоящая Политика обработки персональных данных Предприятия, разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и иными нормативными правовыми актами Российской Федерации, определяющие основные принципы обработки и обеспечения безопасности персональных данных.
1.3. Политика обработки персональных данных Оператора разработана с целью обеспечения защиты прав и свобод физических лиц при обработке их персональных данных.
1.4. Политика обработки персональных данных опубликована на официальном сайте Оператора www.z-it.ru и общедоступна для ознакомления. Положения Политики обработки персональных данных распространяются на все процессы обработки персональных данных Оператора и на всех работников Оператора, участвующих в таких процессах.
1.5. Положения Политики обработки персональных данных служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных Оператора.

2. Термины и сокращения
2.1. Аббревиатуры наименований подразделений
Аббревиатуры наименований подразделений в настоящем документе не применяются.
2.2. Термины
Cookie – небольшие файлы данных (обычно содержащие буквы и цифры), которые веб-сайты могут оставлять на компьютере или мобильном устройстве при посещении того или иного сайта или страницы
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
Безопасность персональных данных – защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Общедоступные персональные данные – общедоступные персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»
Оператор персональных данных – ФГУП «ЗащитаИнфоТранс» (самостоятельно или совместно с другими лицами), организующие организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, сведения о судимости субъекта персональных данных
Субъект персональных данных – физическое лицо, персональные данные которого подлежат обработке
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

3. Принципы обработки персональных данных
Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных персональных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Цели, правовые основания и способы обработки персональных данных
4.1. Обработка персональных данных субъектов персональных данных осуществляется Предприятием в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.2. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Предприятием персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и положений внутренних (локальных) нормативных документов (актов) Предприятия, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированным способом Предприятие принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных без использования средств автоматизации осуществляется Предприятием в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных в порядке, предусмотренном законодательством Российской Федерации.
4.3. Оператор осуществляет обработку и защиту персональных данных в соответствии со следующими нормативными правовыми актами:
Помимо указанных нормативных правовых актов основаниями для обработки персональных данных являются:
4.4. На Предприятии осуществляется обработка персональных данных в следующих целях, следующими способами и на следующих правовых основаниях, представленных ниже.
4.4.1. Управление трудовыми взаимоотношениями Предприятия с работниками в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии и обработка необходима для достижения целей, предусмотренных трудовым законодательством Российской Федерации.
4.4.2. Поиск и подбор в целях трудоустройства кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.3. Контроль физического доступа работников Предприятия в служебные помещения Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации для осуществления прав и законных интересов Предприятия.
4.4.4. Оформление, выдача, отмена и учёт доверенностей на предоставление интересов и совершение определенных действий от имени Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.5. Ведение общедоступных справочников служебных контактных данных работников Предприятия, включая изготовление визитных карточек работников Предприятия, а также работников организаций, с которыми Предприятие заключило договоры. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии, в том числе путём заполнения установленных форм заявок работниками Предприятия на корпоративном портале.
4.4.6. Управление взаимоотношениями с контрагентами Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств, а также в случае необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.4.7. Ведение бухгалтерского и налогового учетов, а также индивидуального (персонифицированного) учёта физических лиц на Предприятии в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств в случаях, предусмотренных законодательством Российской Федерации.
4.4.8. Обеспечение работников Предприятия программами добровольного страхования, включая медицинское страхование и страхование от несчастного случая, а также прочие виды страхования. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.9. Допуск к сведениям, составляющим государственную тайну, работников и кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.10. Обеспечение работников Предприятия возможностью профессионального роста путём прохождения программ обучения, повышения квалификации, переподготовки и просвещения. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.11. Ведение корпоративного информационного портала для обмена рабочей информацией и создания комфортной информационной среды взаимодействия между работниками по вопросам жизнедеятельности Предприятия.

5. Категории обрабатываемых персональных данных
5.1. Обработке Оператором подлежат персональные данные следующих субъектов:
5.2. Категории обрабатываемых персональных данных определяются отдельно для каждой цели обработки (раздел 4) и их перечень не должен превышать необходимый для реализации соответствующих целей обработки:
5.3. Объем обрабатываемых персональных данных не превышает 100 000 субъектов, персональные данные которых обрабатываются для каждой из целей.
5.4. Предприятие не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни и биометрических персональных данных если иное не установлено законодательством Российской Федерации.
5.5. На Предприятии запрещена обработка персональных данных с целью продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

6. Сроки хранения персональных данных
Сроки хранения персональных данных, обрабатываемых Оператором, определяются исходя из целей обработки персональных данных в соответствии с требованиями федеральных законов Российской Федерации, требованиями операторов персональных данных, по поручению которых Оператор осуществляет обработку персональных данных сроком действия договора с субъектом персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случае, когда обработка персональных данных необходима для осуществления прав и законных интересов оператора персональных данных, или в иных случаях, предусмотренных законодательством в области обработки и обеспечения безопасности персональных данных.
7.2. Предприятие в соответствии с Законом № 152-ФЗ может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.
7.3. Предприятие в соответствии с Законом № 152-ФЗ вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Предприятием и третьим лицом, в котором должны быть определены:
7.4. Предприятие несет ответственность перед субъектом персональных данных за действия лиц, которым Предприятие поручает обработку персональных данных субъекта персональных данных.
7.5. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Предприятием, а обработка, соответственно, должна быть прекращена.
7.7. Предприятие осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
7.9. При осуществлении хранения персональных данных Предприятие использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ. Предприятие не осуществляет трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу) передачу персональных данных.
7.10. Предприятие обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
На Предприятии разработаны и утверждены генеральным директором Предприятия Правила обработки персональных данных, утверждённые приказом от 03.04.2020 №21-О, в которых регламентируется работа с обращениями субъектов персональных данных или их представителей и запросами уполномоченного органа по защите прав субъектов персональных данных на Предприятии.

8. Права и обязанности Оператора и субъектов персональных данных
8.1. Субъект персональных данных в соответствии с Законом № 152-ФЗ имеет право:
8.2. Предприятие в соответствии с требованиями Закона № 152-ФЗ обязано:
8.3. Предприятие в соответствии с требованиями Закона № 152-ФЗ имеет право:
9. Конфиденциальность персональных данных
9.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.
9.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Предприятия, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.
9.4. Предприятие не раскрывает третьим лицам и не распространяет персональных данных без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
9.5. Третьи лица, получившие доступ к персональным данным или осуществляющие обработку персональных данных по поручению Предприятия, обязуются соблюдать требования договоров и соглашений с Предприятием в части обеспечения конфиденциальности и безопасности персональных данных.

10. Безопасность персональных данных
10.1. На Предприятии соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
10.2. Безопасность персональных данных Предприятия в соответствии с Положением об обработке и защите персональных данных субъектов персональных данных на Предприятии обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры.
10.3. В целях обеспечения безопасности персональных данных на Предприятии выполняются следующие мероприятия:
11. Заключительные положения
11.1. Политика является общедоступной и подлежит размещению на официальном веб-сайте Предприятия https://www.z-it.ru/ 
11.2. Пересмотр Политики осуществляется:
11.3. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных на Предприятии.
11.4. За невыполнение требований Политики все работники Предприятия, имеющие доступ к персональным данным, несут ответственность в соответствии с законодательством Российской Федерации.
11.5. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.6. Субъекты персональных данных, чьи персональные данные обрабатываются Предприятием, могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующее письменное обращение в ФГУП «ЗащитаИнфоТранс» по почтовому адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664.
11.7. Обращения от субъекта персональных данных или его представителя должно содержать сведения, позволяющие идентифицировать субъекта персональных данных и его представителя (в случае наличия), а также сведения, позволяющие установить характер отношений с Предприятием, в частности:
12. Нормативные документы
12.1. Учтенные документы
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.2. Отменяемые документы
Политика обработки персональных данных ФГУП «ЗащитаИнфоТранс» от 12.02.2019.

Приложение № 1
Перечень категорий персональных данных, обрабатываемых на Предприятии
   Категории персональных данных
     1  Фамилия, имя, отчество
     2  Предыдущая фамилия/имя/отчество (в случае изменения)
     3  Данные документа, удостоверяющего личность
     4  Адрес регистрации
     5  Адрес места жительства
     6  Год рождения
     7  Месяц рождения
     8  Дата рождения
     9  Место рождения
     10  Пол
     11  Гражданство
     12  Сведения об образовании
     13  Сведения о специальных званиях
     14  Должность
     15  Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой
 занятости на текущее время с указанием наименования организации)
     16  Данные о доходах
     17  Социальные и иные льготы
     18  Сведения об исполнительных листах, выплате алиментов
     19  Данные о семейном положении и состоянии в браке
     20  Данные о ближайших родственниках (фамилия, имя, отчество, год рождения,
 степень родства)
     21  Табельный номер
     22  Номер телефона
     23  Адрес электронной почты (e-mail)
     24  ИНН
     25  СНИЛС
     26  Отношение к воинской обязанности, сведения о воинском учёте
     27  Профессия
     28  Данные о наградах (поощрениях, почётных званиях)
     29  Данные о повышении квалификации, профессиональной переподготовке
     30  Данные водительского удостоверения
     31  Реквизиты банковской карты
     32  Номер лицевого счёта
     33  Социальное положение
     34  Город проживания
     35  Технические cookie-файлы (ip, mac, информация об устройстве и т.д.)