Политика в области обработки персональных данных

Документы

АО фирма «Клуб-400» внесено в реестр операторов персональных данных. Соответствующая запись (регистрационный номер 77-17-008318) внесена в реестр Роскомнадзора на основании Приказа № 290 от 03.10.2017 г.

 

 

1. Общие положения

Настоящая Политика в области обработки персональных данных (далее — Политика) разработана на основании ст.18.1 Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным.

Настоящая Политика определяет принципы, цели, порядок и условия обработки персональных данных субъектов, чьи персональные данные обрабатываются АО фирмой «Клуб-400» (далее — Оператором). В настоящей Политике содержатся положения об ответственности Оператора и ее работников в случае выявления нарушений обработки ПДн законодательству.

В соответствии с ч. 2 ст. 18.1. ФЗ-152 Оператор обеспечивает неограниченный доступ к настоящей Политике обработки персональных данных путем публикации ее на официальном сайте Оператора в сети Интернет.

Положениями настоящей Политики руководствуются все работники Оператора.

2. Используемые понятия, обозначения и сокращения

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Доступ к информации — возможность получения информации и ее использования.

Идентификация— присвоение субъектам и объектам доступа идентификатора и/или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уязвимость ИСПДн — недостаток или слабое место в системном или прикладном программном (либо программно-аппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности ПДн.

Целостность информации — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту ПДн.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

АВПО — антивирусной программное обеспечение

ИСПДн — информационная система персональных данных

НСД — несанкционированный доступ

ОС — операционная система

ПДн — персональные данные

ПО — программное обеспечение

СЗИ — средства защиты информации

СЗПДн — система (подсистема) защиты персональных данных

3. Принципы обработки персональных данных

Обработка ПДн осуществляется у Оператора на основе следующих принципов:

  1. обработка ПДн осуществляется на законной и справедливой основе;
  2. обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей;
  3. Оператор не обрабатывает ПДн, несовместимые с целями сбора персональных данных;
  4. Оператор разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  5. Оператор обрабатывает только ПДн, которые отвечают целям их обработки;
  6. содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  7. обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  8. при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
  9. принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;
  10. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  11. обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 4. Цели и условия обработки персональных данных

Оператор осуществляет обработку персональных данных в целях осуществления деятельности Оператора согласно законодательству Российской Федерации и Уставу Оператора.

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5. Категории персональных данных и их субъектов

Оператор обрабатывает следующие категории ПДн:

  • ПДн общей категории (иные ПДн), которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или к общедоступным ПДн;
  • биометрические ПДн;
  • общедоступные ПДн.

Субъектами, ПДн которых обрабатываются у Оператора с использованием средств автоматизации или без использования таковых, являются:

  • кандидаты на работу у Оператора;
  • работники Оператора и члены их семей (супруги и близкие родственники);
  • лица, имевшие ранее трудовые отношения с Оператором;
  • лица, имеющие гражданско-правовой характер договорных отношений с Оператором, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
  • лица, проходящие различного рода практику (стажировку) у Оператора;
  • акционеры Оператора;
  • контрагенты Оператора, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Оператором, либо желающих заключить договоры с Оператором;
  • посетители Оператора;
  • иные лица, обработка ПДн которых необходима Оператору для осуществления указанных выше целей.

6. Состав лиц, участвующих в обработке и обеспечении безопасности персональных данных

У Оператора назначено лицо, ответственное за организацию обработки ПДн.

У Оператора назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.

У Оператора назначены лица, ответственные за организацию обработки ПДн в структурных подразделениях.

В обработке ПДн у Оператора участвуют работники в рамках выполнения своих должностных обязанностей.

7. Обработка и прекращение обработки

Обработка ПДн у Оператора допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
  • а также обработка ПДн Оператором возможна в иных случаях, предусмотренных федеральным законодательством.

Включение Оператором ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

Оператор осуществляет трансграничную передачу ПДн работников в целях исполнения договорных обязательств с контрагентами только в случае наличия письменного согласия субъекта ПДн.

Оператором не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн.

Оператор вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение Оператора). При этом Оператор обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом. В случае если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица сохраняется за Оператором. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед последним.

Оператор обязуется и обязывает иных лиц, получивших доступ к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Обработка Оператором ПДн прекращается в  случаях:

  • достижение целей обработки ПДн;
  • истечение срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
  • при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

8. Обеспечение безопасности персональных данных

Оператор принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:

  • производится ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • назначены должностные лица, ответственные за организацию обработки и защиты персональных данных;
  • ограничивается состав лиц, имеющих доступ к персональным данным;
  • для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
  • обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
  • соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей.

Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:

  • определяется уровень защищенности ПДн при их обработке в информационных системах;
  • выполняются требования по защите ПДн в информационных системах ПДн в соответствии с определенными уровнями защищенности ПДн;
  • применяются необходимые средства защиты информации;
  • осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • осуществляется учет машинных носителей ПДн;
  • осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
  • осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо; разграничивается доступ пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • организуется пропускной режим на территорию Оператора, охрана помещений с техническими средствами обработки персональных данных;
  • контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн.

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

9. Ответственность

Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Оператора, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими у Оператора процедурами.

Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими у Оператора процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.