ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «1С-АВТОМАТИЗАЦИЯ» В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящее положение (далее – «Политика») разработано в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о ПДн») и является локальным нормативным документом, определяющим ключевые направления деятельности в области обработки и защиты персональных данных (далее – «ПДн») Общества с ограниченной ответственностью «1С-АВТОМАТИЗАЦИЯ» (далее – Общество).

1.2. Цель разработки Политики - определение порядка обработки ПДн действующих, бывших и потенциальных работников, представителей контрагентов и иных субъектов ПДн (далее – субъекты ПДн), ПДн которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

1.3. Условия настоящей Политики распространяются на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера они не могут быть распространены на отношения по обработке и защите ПДн, полученных до его утверждения.

1.4. Условия настоящей Политики и другие локальные нормативные документы Общества в области защиты ПДн распространяются на случаи обработки и защиты ПДн наследников (правопреемников) и (или) представителей субъектов ПДн, даже если эти лица в локальных нормативных документах Общества прямо не упоминаются, но фактически участвуют в правоотношениях с Обществом.

2. Основания и цели обработки персональных данных

2.1. Обработка ПДн осуществляется в процессе ведения уставной деятельности Общества, в следующих целях: установления и прекращения трудовых отношений с физическими лицами; выполнения договорных обязательств перед контрагентами; управления и проведения корпоративных процедур Общества, проверки благонадежности контрагентов, учёта доверенных (уполномоченных) лиц контрагентов; организации бухгалтерского и налогового учета, подготовки регламентированной отчетности; осуществления досудебной и судебной работы, в т.ч. в целях взыскания дебиторской задолженности; исполнения запросов уполномоченных государственных и муниципальных органов, а также субъектов персональных данных; выполнения требований законодательных актов, нормативных документов и иных нормативно-правовых актов, в части передачи информации третьим лицам; проведения рекламных и маркетинговых акций, предоставления доступа посетителям на сайты или сервисы, в том числе с целью получения продуктов, обновлений и услуг; регистрации в приложениях под брендом 1С; подбора кадров; содействия соискателям в трудоустройстве; обучения и продвижения по службе; контроля количества и качества выполняемой работы; обеспечения личной безопасности работников; обеспечение сохранности имущества; информации, полученная с помощью сервисов Яндекс.Метрики и других систем аналитики.

2.2. В связи с реализацией своих прав и обязанностей как юридического лица – в соответствии с ч. 2 ст. 22 Закона о ПДн – Обществом обрабатываются ПДн следующих категорий субъектов: физические лица, состоящие в трудовых и гражданско-правовых отношениях с Обществом, его участники, учредители, уволенные сотрудники; физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Общества, их участники, учредители, в предусмотренных законодательством случаях –родственники указанных выше лиц; кандидаты на замещение вакантных должностей, клиенты контрагентов по планируемым или заключаемым договорам с контрагентами; уполномоченные на основании доверенности или в силу закона представители вышеперечисленных субъектов; посетители сайтов Общества, пользователи сервисов/приложений под брендом 1С, направляющие запрос Обществу, в т.ч. намеревающиеся установить с ним гражданско-правовые отношения, заключить договор.

2.3. ПДн получаются и обрабатываются Обществом при наличии согласия субъекта ПДн или на основании федеральных законов и иных нормативных правовых актов Российской Федерации без согласия субъекта.

2.4. Общество предоставляет обрабатываемые им ПДн государственным и муниципальным органам, органам государственных внебюджетных фондов, а также  учреждениям, имеющим в соответствии с федеральным законом право на получение соответствующих ПДн.

2.5. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

3. Состав персональных данных

3.1. В состав ПДн субъектов, поименованных в п. 2.2 настоящей Политики, входят: фамилия, имя, отчество, ИНН, адрес электронной почты, личный телефон. 

3.2. В состав ПДн работников Общества дополнительно к перечисленным в п. 3.1 настоящей Политики, входит информация о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте регистрации и фактического жительства, состоянии здоровья, о предыдущих местах их работы, а также весь комплекс информации, необходимой для сопровождения процесса оформления трудовых отношений работника при его приеме, переводе и увольнении.

3.3. Кроме ПДн, перечисленных в п. 3.1 и 3.2. настоящей Политике, к ПДн работников Общества также относятся фото и видео материалы, которые могут быть использованы в информационных, рекламных и других целях (путем размещения на наружных стендах, в печатных изданиях, в сети Интернет на территории России). Данные материалы не могут быть использованы способами, порочащими честь, достоинство и деловую репутацию работника.

3.4. Информация, представляемая работником при поступлении на работу, должна иметь документальную форму. При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю документы соответствии со ст. 65 Трудового кодекса Российской Федерации.

3.5. У Общества хранятся документы, содержащие ПДн работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки Работников; дела, содержащие основания к приказу по личному составу; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, внебюджетные фонды, вышестоящие органы управления и другие учреждения).

4. Сбор, обработка и защита персональных данных

4.1. Порядок получения ПДн:

4.1.1. Все ПДн субъекта ПДн следует получать у него самого. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Общества должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать согласие на их получение.

4.1.2. Общество вправе обрабатывать ПДн субъектов ПДн только с их согласия, данного в любой позволяющей подтвердить факт его получения форме, или в письменной форме в случаях, когда это установлено федеральным законом.

4.1.3. Обработку персональных данных Общество осуществляет руководствуясь Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Трудовым кодексом Российской Федерации; Федеральными законами от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством», от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний», Уставом, согласиями субъектов персональных данных на обработку персональных данных.

4.2. Согласие субъекта ПДн не требуется в следующих случаях:

4.2.1. обработка ПДн осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Общества;

4.2.2. обработка ПДн осуществляется в целях исполнения договора, стороной которого является субъект ПДн;

4.2.3. обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн;

4.2.4. обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно.

5. Принципы обеспечения безопасности персональных данных

5.1. Основной задачей обеспечения безопасности ПДн при их обработке является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

5.2. Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:

5.2.1. законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

5.2.2. комплексность: защита ПДн строится с использованием ряда правовых, организационных мер и функциональных возможностей имеющихся у Общества технических средств;

5.2.3. непрерывность: защита ПДн обеспечивается на всех этапах их сбора, накопления, обработки, вплоть до уничтожения ПДн;

5.2.4. своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

5.2.5. устранение несоответствий и совершенствование мер: Обществом производится своевременное устранение выявленных нарушений законодательства об обработке и защите ПДн, модернизация и наращивание мер и средств защиты ПДн, в том числе на основании оценки новых угроз безопасности ПДн;

5.2.6. персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на конкретных работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

5.2.7. минимизация прав доступа: доступ к ПДн предоставляется работникам только в объеме, необходимом для выполнения их должностных обязанностей;

5.2.8. гибкость: обеспечение выполнения функций защиты ПДн при изменении объема и состава обрабатываемых ПДн;

5.2.9. наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль, а также самими субъектами ПДн, в том числе в порядке получения ими письменных ответов на свои обращения;

5.2.10. непрерывность контроля и оценки: устанавливаются процедуры периодических проверок соблюдения разработанных мер.

6. Доступ к обрабатываемым персональным данным

6.1. Доступ к обрабатываемым Обществом ПДн имеют работники, уполномоченные приказом руководителя Общества, а также лица, которым Общество поручило обработку ПДн на основании заключенного договора.

6.2. Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных документов Общества.

6.3. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Обществом, определяется в соответствии с законодательством и обеспечивается локальными нормативными документами Общества.

6.4. Запросы и обращения субъектов ПДн для получения информации, касающейся обработки их ПДн, следует направлять ответственному за организацию обработки ПДн Общества по юридическому адресу Общества.

7. Реализуемые меры по защите персональных данных

7.1. Состав правовых, организационных и технических мер определяется, а локальные нормативные документы об обработке и защите ПДн утверждаются (издаются) Обществом, исходя из требований Закона о ПДн, главы 14 Трудового кодекса Российской Федерации, а также иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

7.2. Обществом осуществляется ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, настоящей Политики и иными локальными нормативными документами по вопросам обработки ПДн, при необходимости осуществляется обучение указанных работников по вопросам обработки и защиты ПДн.

7.3. При обработке ПДн применяются следующие организационные меры:

• назначается Ответственный за организацию обработки ПДн;

• осуществляется ограничение и разграничение доступа работников;

• осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, Политики и другим нормативным документам Общества;

• проводятся иные меры, направленные на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн, в частности, моделирование угроз и оценка рисков. 

7.4. При обработке ПДн применяются следующие технические меры:

• устанавливается физическая охрана помещений, используются запирающие устройства;

• при обработке ПДн в информационных системах (ИСПДн) обеспечивается применение средств защиты информации для обеспечения соответствующего уровня защищенности, мер по восстановлению модифицированных или уничтоженных ПДн, мер для регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн.