Политика обработки персональных данных в «ЗащитаИнфоТранс»

1. Общие положения
1.1. ФГУП «ЗащитаИнфоТранс» в рамках выполнения своей деятельности осуществляет обработку персональных данных и является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации.

1.2 Настоящая Политика обработки персональных данных (далее - Политика обработки ПДн) ФГУП «ЗащитаИнфоТранс» (далее - Оператор), ИНН 7708083600, расположенного по адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом.664, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами Российской Федерации и определяет основные принципы обработки и обеспечения безопасности персональных данных в ФГУП «ЗащитаИнфоТранс».

1.3. Политика обработки ПДн ФГУП «ЗащитаИнфоТранс» разработана с целью обеспечения защиты прав и свобод субъекта персональных данных (далее - ПДн) при их обработке.

1.4. Действие настоящей Политики распространяется на все процессы обработки персональных данных в ФГУП «ЗащитаИнфоТранс» и на всех работников Оператора, участвующих в таких процессах.

1.5. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ФГУП «ЗащитаИнфоТранс» вопросы обработки персональных данных.

1.6. В настоящей Политике используются следующие термины и определения:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Общедоступные категории персональных данных – персональные данные, сделанные общедоступными субъектом персональных данных или полученные из общедоступного источника.
Безопасность персональных данных – защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Цели обработки персональных данных
Обработка персональных данных субъектов ПДн «ЗащитаИнфоТранс» осуществляется в целях:

обеспечения и соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы;
содействия работнику в трудоустройстве, обучении и продвижении по службе;
обеспечения личной безопасности работников;
формирования внутренних информационных систем, ресурсов, справочников, баз данных, которые могут являться общедоступными источниками персональных данных;
обеспечения соблюдения федеральных законов и иных нормативных, правовых актов в сфере рассмотрения обращений физических и юридических лиц;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
расчета и начисления заработной платы;
пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Оператора;
добровольного страхования работников;
принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.

3. Правовое основание обработки персональных данных
Правовым основанием обработки персональных данных субъектов персональных данных во ФГУП «ЗащитаИнфоТранс» является исполнение возложенных на ФГУП «ЗащитаИнфоТранс» законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Налоговым кодексом Российской Федерации Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 28.12.2013 № 400-ФЗ «О страховых пенсиях», Федеральным законом от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации
Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», а также Уставом, и внутренними нормативными документами ФГУП «ЗащитаИнфоТранс».

Обработка ПДн осуществляется с учетом требований следующих нормативных правовых актов:

Конституции Российской Федерации;
Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ;
постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
приказа ФСТЭК России от февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

4. Перечень действий с персональными данными
При обработке ПДн Оператор осуществляет следующие действия с ними: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Категории обрабатываемых персональных данных
5.1. Обработке Оператором подлежат ПДн следующих субъектов персональных данных:

сотрудники Оператора и их ближайшие родственники;
уволенные сотрудники оператора;
граждане, претендующие на замещение вакантной должности;
контрагенты Оператора.

5.2. В ФГУП «ЗащитаИнфоТранс» обрабатываются следующие категории персональных данных:

общедоступные персональные данные;
иные категории персональных данных (персональные данные, не относящиеся к категориям специальных персональных данных, биометрических персональных данных и общедоступных персональных данных).

5.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ФГУП «ЗащитаИнфоТранс» не осуществляется.

6. Способы, принципы и правила обработки персональных данных
6.1. Обработка персональных данных в ФГУП «ЗащитаИнфоТранс» осуществляется следующими способами:

неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных.

6.2. Обработка персональных данных осуществляется ФГУП «ЗащитаИнфоТранс» на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Во ФГУП «ЗащитаИнфоТранс» не допускается обработка персональных данных, несовместимая с целями сбора персональных данных и объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых ФГУП «ЗащитаИнфоТранс» персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

6.4. При обработке персональных данных ФГУП «ЗащитаИнфоТранс» обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Во ФГУП «ЗащитаИнфоТранс» принимаются необходимые меры (обеспечивается их принятие) по удалению или уточнению неполных или неточных персональных данных.

6.5. Хранение персональных данных во ФГУП «ЗащитаИнфоТранс» осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.6. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями ФГУП «ЗащитаИнфоТранс», определенными действующим законодательством Российской Федерации.

6.7. Обработка персональных данных в ФГУП «ЗащитаИнфоТранс» осуществляется как с использованием средств автоматизации, так и без использования таких средств.

6.8. В ФГУП «ЗащитаИнфоТранс» допускается обработка общедоступных персональных данных, полученных из общедоступных источников персональных данных или с письменного согласия субъекта персональных данных.

6.9. В целях информационного обеспечения в ФГУП «ЗащитаИнфоТранс» могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, должность, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

6.10. В случаях, установленных законодательством Российской Федерации, ФГУП «ЗащитаИнфоТранс» вправе осуществлять передачу персональных данных субъектов персональных данных третьим лицам. Передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в части обработки и защиты персональных данных.

6.11. ФГУП «ЗащитаИнфоТранс» вправе осуществлять обработку персональных данных по поручению оператора, если такая обработка будет поручена ФГУП «ЗащитаИнфоТранс» в соответствии со статьей 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

6.12. ФГУП «ЗащитаИнфоТранс» вправе поручить обработку персональных данных другим лицам с согласия субъекта персональных данных в соответствии со статьей 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случае, когда обработка персональных данных осуществляется ФГУП «ЗащитаИнфоТранс» по поручению оператора персональных данных на основании договора, привлечение ФГУП «ЗащитаИнфоТранс» третьей стороны к обработке персональных данных возможно, если оператором персональных данных допускается такое привлечение в рамках основного договора между оператором персональных данных и ФГУП «ЗащитаИнфоТранс».

6.13. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации

6.14. ФГУП «ЗащитаИнфоТранс» не осуществляет принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки персональных данных.

7. Обеспечение защиты персональных данных при их Оператором
7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами Российской Федерации, если иное не предусмотрено федеральными законами.

К таким мерам относятся:

назначение Оператором ответственного за организацию обработки персональных данных;
издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам их обработки, и (или) обучение указанных сотрудников.

7.2. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Права граждан в части обработки персональных данных
8.1. Субъект персональных данных, персональные данные которого обрабатываются в ФГУП «ЗащитаИнфоТранс», имеет право получать от ФГУП «ЗащитаИнфоТранс»:

подтверждение факта обработки персональных данных ФГУП «ЗащитаИнфоТранс»;
сведения о правовых основаниях и целях обработки персональных данных;
сведения о применяемых ФГУП «ЗащитаИнфоТранс» способах обработки персональных данных;
сведения о наименовании и местонахождении ФГУП «ЗащитаИнфоТранс»;
сведения о лицах (за исключением работников ФГУП «ЗащитаИнфоТранс»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ФГУП «ЗащитаИнфоТранс» или на основании федерального закона;
перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
сведения о сроках обработки персональных данных, в том числе сроках их хранения;
информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
наименование (или ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению ФГУП «ЗащитаИнфоТранс»;
сведения о порядке осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
иные сведения, предусмотренные Федеральным законом № 152- ФЗ «О персональных данных» и другими федеральными законами;
требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отозвать свое согласие на обработку персональных данных;
требовать устранения неправомерных действий ФГУП «ЗащитаИнфоТранс» в отношении его персональных данных;
обжаловать действия или бездействие ФГУП «ЗащитаИнфоТранс» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что ФГУП «ЗащитаИнфоТранс» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

8.2. В ФГУП «ЗащитаИнфоТранс» могут поступать различные запросы и обращения от субъектов персональных данных. В соответствии с законодательством, субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.

8.3. ФГУП «ЗащитаИнфоТранс» определяет порядок регистрации и работы с обращениями субъектов персональных данных с целью соблюдения процедур и сроков подготовки ответов на обращения, установленным законодательством.

8.4. Вопросы или комментарии к настоящей Политике, либо запросы об обработке персональных данных в ФГУП «ЗащитаИнфоТранс», также могут быть направлены по адресу: 1 17105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом.664

В случае направления официального запроса ФГУП «ЗащитаИнфоТранс» в тексте запроса необходимо указать:

фамилию, имя, отчество субъекта персональных данных или его представителя;
номер основного документа, удостоверяющего личность субъекта персональных данных (или его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие в отношениях с ФГУП «ЗащитаИнфоТранс», либо сведения, иным способом подтверждающие факт обработки персональных данных ФГУП «ЗащитаИнфоТранс»;
подпись субъекта персональных данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9. Сроки хранения персональных данных
9.1 Сроки хранения персональных данных, обрабатываемых Оператором, определяются исходя из целей обработки персональных данных, в соответствии с требованиями федеральных законов Российской Федерации, требованиями операторов персональных данных, по поручению которых ФГУП «ЗащитаИнфоТранс» осуществляет обработку персональных данных сроком действия договора с субъектом персональных данных.