ПОЛИТИКА ООО «Институт ВНИИжелезобетон»
В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
С целью обеспечения выполнения положений Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» ООО «Институт ВНИИжелезобетон» (далее Общество) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных (далее – ПДн) субъектов в бизнес-процессах.
Для решения данной задачи в Обществе введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
Обработка персональных данных основана на следующих принципах:
- законности целей и способов обработки персональных данных и их добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
- легитимности организационных и технических мер по обеспечению безопасности персональных данных;
- непрерывности повышения уровня знаний работников в сфере обеспечения безопасности персональных данных при их обработке;
- стремления к постоянному совершенствованию системы защиты персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с принципами обработки персональных данных, в Обществе определены состав и цели обработки персональных данных:
- рассмотрение резюме (в т.ч. получение дополнительной информации) и подбор кандидатов для трудоустройства на вакантную должность в Общество;
- проверка добросовестности кандидатов для трудоустройства на вакантную должность до приема на работу в Общество;
- заключение, сопровождение, изменение, расторжение трудовых договоров, которые являются основанием для возникновения или прекращения трудовых отношений между работником и Обществом, и исполнение обязательств, предусмотренных распорядительными документами, локальными нормативными актами и трудовыми договорами;
- оформление полисов обязательного, добровольного медицинского страхования для работников и содействие в разрешении спорных ситуаций при наступлении страховых случаев;
- организация пропускного и внутриобъектового режима на территории Общества;
- оформление и представление полномочий на предоставление интересов Общества работникам и иным лицам;
- заключение изменение, расторжение договоров гражданско-правового характера, которые являются основанием для возникновения, изменения или прекращения отношений с Обществом, и исполнение обязательств, предусмотренных гражданско-правовыми договорами;
- проверка добросовестности контрагентов и проверка полномочий лиц, подписывающих договоры гражданско - правового характера;
- взаимодействие с контактными лицами контрагентов в процессе заключения, сопровождения, изменения, расторжения договоров гражданско – правового характера, которые являются основанием для возникновения, изменения или прекращения отношений с Обществом;
- исполнение обязательств, предусмотренных действующим законодательством Российской Федерации.
3. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В Обществе осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных.
В Обществе осуществляется обработка следующих категорий субъектов персональных данных:
- кандидаты для трудоустройства на вакантную должность;
- работники;
- близкие родственники кандидатов для трудоустройства на вакантную должность и работников;
- третьи лица (физические и юридические) для оформления и выдачи доверенностей от имени Общества;
- исполнители и иные лица, являющиеся стороной по договорам гражданско-правового характера (физические лица, индивидуальные предприниматели);
- посетители территорий Общества;
- руководители организаций – контрагенты по договорам гражданско- правового характера;
- прочие лица, совершающие действия и осуществляющие иные взаимоотношения с Обществом.
В Обществе не допускается обработка категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, философских, религиозных убеждений, интимной жизни, а также сведения о судимости.
Обработка персональных данных, касающихся состояния здоровья работников Общества, допускается исключительно в случаях, предусмотренных трудовым законодательством, включая законодательство об охране труда, законодательством о социальной защите инвалидов, а также в иных случаях при наличии письменного согласия работников на такую обработку. Обработка данных, касающихся состояния здоровья работников Общества, производится без использования средств автоматизации. Обработка персональных данных, касающихся состояния здоровья остальных категорий субъектов персональных данных, в Общество не осуществляется.
В Обществе осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) – фотографий работников Общества в целях организации надлежащего пропускного и внутриобъектового режима, создания и функционирования сайтов, корпоративного портала Общества. Обработка указанных биометрических персональных данных осуществляется исключительно на основании согласий субъектов, полученных в письменной форме.
В Обществе осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
Общество не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.
В Обществе запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
Каждый новый работник Общества, непосредственно осуществляющий обработку персональных данных, знакомится с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными нормативными актами Общества по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
Общество в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
Общество может предоставлять персональные данные субъектов третьим лицам на основании заключаемых с ними договоров или государственным и муниципальным органам в соответствии с требованиями законодательства Российской Федерации. Передача персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, когда для передачи персональных данных имеются иные правовые основания, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Общество обязуется и требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. РЕАЛИЗОВАННЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
С целью обеспечения безопасности персональных данных при их обработке в Обществе реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
В Обществе проводится оценка вреда, который может быть причинен субъектам персональных данных, определение угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных. Для обеспечения необходимого уровня защищенности персональных данных в Обществе применяются необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
В Обществе назначены лица, ответственные за организацию обработки и за обеспечение безопасности персональных данных.
Руководство Общества осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня защищенности персональных данных, обрабатываемых в рамках выполнения основной деятельности Общества.
5. ИНФОРМАЦИЯ НА САЙТЕ ОБЩЕСТВА
5.1. .Пользователь сайта – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт Общества.
«Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
«IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
5.2. Использование Пользователем сайта означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.
В случае несогласия с условиями Политики Пользователь должен прекратить использование сайта.
5.3. Настоящая Политика применяется только к сайту Общества и Общество не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.
Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.
5.4. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения регистрационной формы на Сайте и включают в себя следующую информацию:
- фамилию, имя, отчество Пользователя;
- контактный телефон Пользователя;
- адрес электронной почты (e-mail);
- наименование компании
5.5. Общество защищает Данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы ("пиксель"):
- IP адрес;
- информация из cookies;
- информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы);
- время доступа;
- адрес страницы, на которой расположен рекламный блок;
- реферер (адрес предыдущей страницы).
Общество осуществляет сбор статистики об IP-адресах своих посетителей.
5.6. Персональные данные Пользователя Администрация сайта интернет-магазина может использовать в целях:
- идентификации Пользователя, зарегистрированного на сайте для оформления;
- установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, работ, обработка запросов и заявок от Пользователя;
- предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием Сайта;
- предоставления Пользователю с его согласия, обновлений продукции, специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени Общества или от имени партнеров Общества;
- осуществления рекламной деятельности с согласия Пользователя;
- предоставления доступа Пользователю на сайты или сервисы партнеров с целью получения продуктов, обновлений и услуг;
5.7. Пользователь соглашается с тем, что Администрация сайта вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи, исключительно в целях выполнения заказа
Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
Наверх