I. Общие положения
1. Настоящая Политика разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов Российской Федерации.
2. Настоящая Политика устанавливает совокупность принципов и норм, регламентирующих работу по обработке и защите персональных данных, реализуемых в АО «РОСЭКСПЕРТ-ПЕРСОНАЛ» (далее – «Общество»).
3. Общество обязано опубликовать настоящую Политику или иным образом обеспечить неограниченный доступ к ней.
4. В настоящей Политике используются следующие понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
пользователь услуг Общества – физическое или юридическое лицо, пользующееся услугами, оказываемыми Обществом;
конфиденциальность персональных данных- обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
представитель субъекта персональных данных – представитель, определяемый в соответствии со статьей 89 Трудового кодекса Российской Федерации в отношении работника, и положениями действующего законодательства в отношении иных субъектов персональных данных.
5. Персональные данные субъектов персональных данных относятся к категории информации конфиденциального характера, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях.
II. Цели обработки персональных данных
6. Обработка персональных данных субъектов персональных данных осуществляется Обществом в целях:
- исполнения положений Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, Налогового кодекса Российской Федерации и других нормативных актов Российской Федерации;
- принятия решения о трудоустройстве кандидата на работу в Общество или пользователя услуг Общества;
- заключения и выполнения обязательств по трудовым договорам, договорам негосударственного пенсионного обеспечения, договорам об обязательном пенсионном страховании;
- заключения и выполнения обязательств по гражданско-правовым договорам на оказание услуг, оказываемых Обществом.
III. Принципы и условия обработки персональных данных
7. Обработка персональных данных в Обществе учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны и основана на следующих принципах:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только те персональные данные, которые отвечают целям обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки. Общество должно принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;
- хранение персональных данных должно осуществляться в форме, позволяющей определить cубъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные должны быть уничтожены либо обезличены по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Обработка персональных данных в Обществе осуществляется в случаях:
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в иных случаях, предусмотренных законодательством Российской Федерации.
9.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством об отдельных видах страхования, со страховых законодательством;
- в иных случаях, предусмотренных законодательством Российской Федерации.
10. Биометрические персональные данные могут обрабатываться в Обществе только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, когда обработка биометрических персональных данных осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
В Обществе не обрабатываются биометрические персональные данные, за исключением фотографического изображения субъекта персональных данных при соблюдении предусмотренных законодательством условий.
11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Трансграничная передача персональных данных в Обществе может осуществляться только с ограничениями, предусмотренными действующим законодательством.
12. В Обществе в целях информационного обеспечения могут использоваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных органов.
13. Общество вправе осуществлять обработку персональных данных по поручению другого лица (оператора), если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом (оператором) договора, в том числе государственного или муниципального контракта, либо на основании принятого государственным или муниципальным органом соответствующего акта (далее - поручение оператора).
Общество, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
В поручении оператора: должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться Обществом, и цели обработки персональных данных, должна быть установлена обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
14. Общество, осуществляющее обработку персональных данных по поручению другого лица, которое является оператором персональных данных, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
15. В случае, если другое лицо, являющееся оператором персональных данных, поручает обработку персональных данных Обществу, ответственность перед субъектом персональных данных за действия Общества несет данное лицо. Общество несет ответственность перед лицом, поручившим Обществу обработку персональных данных.
16. При обработке персональных данных Общество обязано обеспечить их конфиденциальность, т.е. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
IV. Субъекты персональных данных
17. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
- работник Общества, соискатель на замещение вакантных должностей Общества, бывший работник Общества;
- пользователь услуг (физическое лицо) Общества;
- работник или соискатель на замещение вакантных должностей юридического лица (индивидуального предпринимателя), являющегося пользователем услуг Общества (работник или кандидат на работу контрагента Общества);
- работник юридического лица (индивидуального предпринимателя), являющегося пользователем услуг Общества (работник контрагента Общества) при наличии соответствующего поручения;
- любое иное физическое лицо, персональные данные которого стали известны Обществу в силу предоставления ему со стороны Общества социальных льгот, гарантий и компенсаций.
V. Обрабатываемые персональные данные
18. Общество обрабатывает следующие категории персональных данных: фамилия, имя, отчество; число, месяц, год рождения; место рождения; адрес места жительства; семейное положение; имущественное положение; образование; профессия; индивидуальный номер налогоплательщика; данные страхового свидетельства и иные персональные данные, обрабатываемые Обществом на основании законодательства Российской Федерации.
В Обществе могут обрабатываться также другие персональные данные пользователей услуг Общества, необходимые для реализации целей обработки, указанных в пункте 6 настоящей Политики.
19. Персональные данные работников, обрабатываемые в Обществе, определяются на основании Трудового кодекса Российской Федерации и нормативных актов Общества.
VI. Обработка и защита персональных данных в Обществе
20. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
21. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществляется с помощью вычислительной техники, однако такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
22. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
23. Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы Общества;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Общества деятельности.
25. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных в Обществе определяются в соответствии с законодательством Российской Федерации и нормативными документами Общества.
26. В Обществе запрещено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных, за исключением случаев предусмотренных федеральными законами.
27. Общество применяет необходимые и достаточные организационные и технические меры по защите персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль за принимаемыми мерами по обеспечению безопасности и оценку эффективности принимаемых мер.
28. Общество осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов Российской Федерации, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Общества.
VII. Права субъектов персональных данных
29. Субъект персональных данных имеет право:
- получать в соответствии с законодательством Российской Федерации информацию, касающуюся обработки в Обществе его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
- требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
- отозвать согласие на обработку своих персональных данных;
- обжаловать действия или бездействие Общества при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
VIII. Обязанности Общества, как оператора персональных данных
30. Общество при обработке персональных данных обязано:
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами Общества.
31. В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и нормативными документами Общества, приказом Генерального директора Общества назначается лицо, ответственное за организацию обработки персональных данных в Обществе.
32. Лицо, ответственное за организацию обработки персональных данных в Обществе, получает указания непосредственно от Генерального директора Общества и подотчетно ему.
33. Лицо, ответственное за организацию обработки персональных данных в Обществе, в частности, обязано:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Обществе, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- организовывать осуществление внутреннего контроля за соблюдением в Обществе требований законодательства Российской Федерации и нормативных документов Общества, в области персональных данных, в том числе требований к защите персональных данных;
- организовывать доведение до сведения работников Общества положений законодательства Российской Федерации о персональных данных, нормативных документов Общества по вопросам обработки персональных данных, а также требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в Обществе.
IX. Ответственность за нарушение требований по обработке и защите персональных данных
34. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.