1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая политика (далее - Политика) разработана в соответствии и с учетом требований Конституции РФ, Федерального закона от 27.07.2006 (ред. от 21.07.2014) N 152-ФЗ "О персональных данных" (далее - Закон о ПД) и иных законодательных и нормативно правовых актов РФ в области. Положения политики являются основополагающим регулятивным документом и действует в отношении всех персональных данных (далее – ПД), которые ООО «Эр Джи-Дизайн» (далее – Компания) может получить от субъекта, являющегося стороной по договору оказания консультационных и(или) юридических услуг (покупатель, продавец или их законные представители), гражданско-правовому договору, а так же от субъекта, состоящего с организацией в отношениях, регулируемых трудовым законодательством (далее – Работника).
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД Компанией, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке и защите ПД, полученных Компанией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.
1.4. При обработке ПД строго соблюдаются следующие принципы:
- не допускается обработка ПД, несовместимая с целями сбора ПД;
- не допускается обработка ПД, которые не отвечают целям обработки;
- содержание и состав обрабатываемых ПД соответствует заявленным целям обработки;
- при обработке ПД обеспечивается точность, достаточность, а в необходимых случаях актуальность ПД;
- хранение ПД осуществляется не дольше, чем этого требуют цели обработки ПД, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем по которым является субъект ПД;
- обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ.
2. ОСНОВАНИЯ ОБРАБОТКИ И СОСТАВ
2.1. Законодательные и иные нормативные правовые акты РФ, в соответствии с которыми определяется Политика обработки в Компании:
- Трудовой кодекс РФ;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
- Указ Президента РФ от 06 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки, осуществляемой без использования средств автоматизации";
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите при их обработке в информационных системах";
- Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. "Об утверждении Порядка проведения классификации информационных систем";
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности при их обработке в информационных системах";
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию";
- Федеральный закон от 07.08.2001г N 115 "О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма";
- иные нормативные правовые акты РФ;
2.2. Субъектами являются:
- работники Компании
- клиенты Компании
- другие субъекты (контрагенты) не состоящих с Компанией в трудовых отношениях.
При этом обрабатываются ПД в целях:
- обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов;
- осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Компанию, в том числе по предоставлению в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы,);
- защиты жизни, здоровья или иных жизненно важных интересов субъектов;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутри объектового режимов в офисах Компании;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами;
- целями обработки клиентов, представителей клиентов и (или) выгодоприобретателей физических и юридических лиц, является заключение договоров оказания услуг в соответствии со ст. 779 Гражданского кодекса РФ;
- в иных законных целях;
2.3. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Компания выступает в качестве работодателя, обрабатываются ПД лиц, претендующих на трудоустройство и бывших Работников.
2.4. В связи с реализацией своих прав и обязанностей, Компанией обрабатываются ПД физических и юридических лиц, являющихся контрагентами Компании по агентским и гражданско-правовым договорам, а также граждан, письменно обращающихся в Компанию по вопросам его деятельности (помимо лиц, указанных в пунктах 2.2 - 2.3 Политики).
2.5. Обработка специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, в Компании не осуществляется.
2.6. ПД получаются и обрабатываются Компанией на основании федеральных законов, а в необходимых случаях - при наличии письменного согласия субъекта ПД.
2.7. Компания без согласия субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
2.8. В Компании не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей.
2.9. При обработке ПД обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Компания принимает необходимые меры по удалению или уточнению неполных или неточных ПД.
3. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
3.1. Основной задачей обеспечения безопасности ПД при их обработке в Компании является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности ПД, Компания руководствуется следующими принципами:
- защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;
- защита ПД строится с использованием функциональных возможностей информационных технологий;
- меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;
- модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД с учетом выявления новых способов и средств реализации угроз безопасности ПД;
- ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;
- доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
- обеспечение выполнения функций защиты ПД при изменении характеристик функционирования информационных систем (далее - ИСПД), а также объема и состава обрабатываемых ПД;
- структура, технологии и алгоритмы функционирования системы защиты ПД (далее - СЗПД) не дают возможности преодоления имеющихся в Компании систем защиты возможными нарушителями безопасности ПД;
- реализация мер по обеспечению безопасности ПД и эксплуатация СЗПД осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
- кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД;
- меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы и могли быть оценены лицами, осуществляющими контроль.
4. ДОСТУП К ОБРАБАТЫВАЕМЫМ ПД
4.1. Доступ к персональным данным ограничивается в соответствии с федеральными законами и локальными правовыми актами Компании.
4.2. Компания не разглашает полученные им в результате своей профессиональной деятельности персональные данные. Доступ к обрабатываемым в Компании ПД имеют лица, уполномоченные приказом, а также лица, чьи ПД обрабатываются и(или) подлежат обработке.
4.3. В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной законодательством функции закрепляются за соответствующим сотрудником Компании.
4.4. Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Компании. Допуск Работников к обработке ПД осуществляется согласно перечню типовых полномочий. Соответствующие полномочия пользователя вносятся в должностные обязанности Работника.
4.5. Факты получения доступа к ИСПД регистрируются, с использованием средств обеспечения информационной безопасности. Порядок доступа субъекта к его ПД, осуществляется в соответствии с Законом о ПД и определяется внутренними регулятивными документами Компании.
4.6. В случаях, если Вы, как субъект ПД, хотите узнать, какими персональными данными о Вас располагает Компания, либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие ПД, либо хотите прекратить обработку ваших ПД, либо имеете другие законные требования, вы можете в соответствии с действующим законодательством реализовать такое право, обратившись в Компанию.
5. ПРАВА СУБЪЕКТОВ
5.1. Субъекты имеют право на:
- доступ к своим ПД, включая право на получение копии любой записи, содержащей их ПД, за исключением случаев, предусмотренных федеральным законом;
- уточнение своих ПД, их блокирование или уничтожение в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку ПД;
- принятие предусмотренных законом мер по защите своих прав;
- осуществление иных прав, предусмотренных законодательством РФ.
6. РЕАЛИЗАЦИЯ ПОЛИТИКИ
6.1. Компания принимает необходимые и достаточные меры для защиты обрабатываемых ПД от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
6.2. Ответственность за организацию обработки ПД в Компании несет должностное лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции (ст. 2.4 КоАП РФ) и назначенный приказом генерального директора Компании.
Ответственный за организацию обработки ПД в Компании, в частности, обязан:
- осуществлять внутренний контроль за соблюдением в требований нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД;
- доводить до сведения Работников положения нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД;
- организовывать прием и обработку обращений и запросов субъектов ПД или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
6.3. Компания осуществляет обработку ПД без использования средств автоматизации, а также с использованием таких средств.
6.4. При обработке ПД без использования средств автоматизации, Компания в соответствии с положениями нормативных правовых актов в области обработки и защиты ПД, реализует комплекс организационных и технических мер, обеспечивающих:
- обособление ПД от информации, не содержащей ПД;
- соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них ПД, установленным требованиям;
- сохранность материальных носителей ПД;
- условия хранения, исключающие несанкционированный доступ к ПД, а также смешение ПД (материальных носителей), обработка которых осуществляется в различных целях.
6.5. В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПД с использованием средств автоматизации в Компании создаются ИСПД.
6.6. Объектами защиты СЗПД являются информация, обрабатываемая и содержащая ПД, а также инфраструктура, содержащая и поддерживающая указанную информацию.
6.7. СЗПД реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:
- подготовку внутренних регулятивных документов по вопросам обработки и защиты ПД, контроль за исполнением в Компании требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, а также внесение соответствующих изменений в имеющиеся внутренние регулятивные документы;
- доведение до сведения Работников информации об установленных законодательством РФ санкциях за нарушения, связанные с обработкой и защитой ПД;
- разработку и введение в действие внутренних регулятивных документов Компании по обеспечению информационной безопасности ИСПД;
- ознакомление Работников с положениями нормативных правовых актов и внутренних регулятивных документов Компании в области обработки и защиты ПД, а также обучение Работников правилам обработки и защиты ПД;
- проведение мероприятий по поддержанию и осуществлению контроля за состоянием:
a) охраны, контрольно-пропускного режима, перемещением технических средств и носителей информации;
b) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;
- регламентацию обработки ПД, в том числе хранения и передачи информации как внутри Компании, так и при взаимодействии с контрагентами Компании, государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
- организацию технического оснащения объектов и ИСПД в соответствии с существующими требованиями к информационной безопасности;
- организацию непрерывного процесса контроля событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
- осуществление контроля эффективности организационных мер защиты.
7. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПД И СПОСОБЫ ОБРАБОТКИ
7.1. Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
7.2. Обработка в Компании осуществляется следующими способами:
- неавтоматизированная обработка;
- автоматизированная обработка с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка.
8. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД
8.1. Мероприятия по защите ПД реализуются в Компании в следующих направлениях:
- предотвращение несанкционированного доступа к содержащей ПД информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
- защита от вредоносных программ;
- обеспечение безопасного межсетевого взаимодействия;
- анализ защищенности ИСПД и принятие локальных нормативных актов и иных документов в области обработки и защиты;
- хранение материальных носителей с соблюдением условий, обеспечивающих сохранность и исключающих несанкционированный доступ к ним;
- обнаружение вторжений и компьютерных атак;
8.2. Мероприятия по обеспечению безопасности ПД включают в себя:
- реализацию разрешительной системы допуска пользователей к информационным ресурсам ИС и связанным с их использованием работам, документам;
- разграничение доступа пользователей ИСПД и обслуживающих ИСПД Работников к информационным ресурсам, программным средствам обработки и защиты информации;
- регистрацию действий пользователей и обслуживающих ИСПД Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц;
- предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям информации, в том числе на наличие компьютерных вирусов;
- анализ защищенности ИС с применением специализированных программных средств.
9. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
9.1. С целью поддержания состояния защиты ПД на надлежащем уровне в Компании осуществляется внутренний контроль за эффективностью системы защиты ПД и соответствием порядка и условий обработки и защиты ПД установленным требованиям.
Внутренний контроль включает:
- мониторинг состояния технических и программных средств, входящих в состав СЗПД;
- контроль соблюдения требований по обеспечению безопасности ПД (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПД, требований договоров).
9.2. Персональная ответственность за соблюдение требований законодательства РФ и локальных нормативных актов, а также за обеспечение конфиденциальности и безопасности возлагается на назначенное приказом Генерального директора ответственное лицо.