ПОЛИТИКА АО "ШВЕЙНАЯ ФАБРИКА "Элита" В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения. 1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) излагает систему основных принципов информационной безопасности, применяемых в отношении обработки персональных данных в АО "Швейная фабрика "Элита" (далее – Обществе), определяет общие принципы, порядок и условия обработки персональных данных работников Общества и иных лиц, чьи персональные данные обрабатываются Обществом с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных. 1.2. Политика составлена в соответствии с Конвенцией Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. (п. 2 ст. 18.1). 1.3. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа иным образом, если иное не предусмотрено новой редакцией Политики. 1.4. Политика распространяется на персональные данные, полученные как до, так и после вступления в силу настоящей Политики.
2. Введение. 2.1. Общество является оператором персональных данных. 2.2. Важным условием реализации целей деятельности Общества является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных. 2.3. Общество осуществляет обработку персональных данных на законной и справедливой основе, в частности, в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. 2.4. В Обществе разработаны и введены в действие документы, устанавливающие порядок обработки и защиты персональных данных, которые обеспечивают соответствие требованиям Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, и позволяют обеспечить защиту персональных данных, обрабатываемых в Обществе.
3. Персональные данные, обрабатываемые в Обществе. 3.1. Сведениями, составляющими персональные данные в Обществе, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 3.2. Правовые основания обработки персональных данных: - Конституция Российской Федерации; - Трудовой кодекс Российской Федерации; - Гражданский кодекс Российской Федерации; - Федеральный закон от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 3.3. Цели обработки персональных данных: - исполнение положений нормативных актов, указанных в п. 3.2; - заключение и выполнение обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами; - осуществления пропускного и внутриобъектового режима. 3.4. Состав персональных данных определяется целями их обработки и фиксируется «Перечнем персональных данных, обрабатываемых в Обществе». 3.5. Общество осуществляет обработку следующих персональных данных: - общие сведения о юридическом лице, заключившем договор с Обществом; - общие сведения об ИП, заключивших договор с Обществом; - общие сведения о физических лицах, заключивших договор с Обществом; - общие сведения о лице, разово допущенном на территорию Общества; - кадровые сведения о работнике Общества; - финансовые сведения по работнику Общества; - сведения о родственниках работника Общества; - сведения о нарушениях трудовой дисциплины работником; - сведения, признанные общедоступными в Обществе. Принципы и условия обработки персональных данных в Обществе. 3.6. Обработка персональных данных осуществляется до момента достижения целей такой обработки. Персональные данные хранятся: - трудовые договора и сведения согласно ТК РФ – 50 лет; - финансовые документы по работнику – 5 лет; - договора гражданско-правового характера – 5 лет; - журналы учета разового допуска на территорию – 3 года. 3.7. При обработке персональных данных в Обществе обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных в Обществе. 3.8. Общество обрабатывает биометрические персональные данные работников – фотографии в электронном пропуске и системе контроля и управления доступом. 3.9. Обработка специальных категорий ПДн не осуществляется. 3.10. Трансграничная передача персональных данных не осуществляется. 3.11. Обработка персональных данных ведется как с использованием материальных носителей, так и с использованием средств вычислительной техники. При обработке персональных данных соблюдаются требования федерального закона и подзаконных актов в отношении обработки персональных данных. 3.12. В Обществе не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных. 3.13. Для организации пропускного режима и обработки на средствах вычислительной техники Общество может передавать с согласия субъекта персональных данных его персональные данные для обработки иному юридическому лицу (обработчику) в соответствии со специально составленным Обществом поручением обработчику. 3.14. Работники Общества (в том числе сотрудники, работающие удаленно) ознакомлены под роспись с документами Общества, устанавливающими порядок обработки и защиты персональных данных, а также права и обязанности, возникающие при осуществлении обработки и защиты персональных данных. 3.15. Работникам Общества запрещается осуществлять сбор, обработку и хранение ПДн субъектов Российской Федерации в целях, лежащих за пределами целей обработки персональных данных Общества, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем. 3.16. Персональные данные поступают в Общество непосредственно от субъекта персональных данных или от лиц, не являющихся субъектами персональных данных, на основании договора. При этом Общество выполняет все требования к осуществлению обработки таких данных, предусмотренные Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г., а также обеспечивает безопасность полученных персональных данных. 3.17. Общество осуществляет передачу персональных данных третьим лицам на основании поручения обработки персональных данных в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г., а также в рамках исполнения норм действующего законодательства Российской Федерации.
4. Права субъектов персональных данных, обрабатываемых в Обществе. 4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки ПДн Обществом; - правовые основания и цели обработки персональных данных; - цели и применяемые Обществом способы обработки персональных данных; - наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона; - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; - сроки обработки персональных данных, в том числе сроки их хранения; - порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; - информацию об осуществленной или о предполагаемой трансграничной передаче данных; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу; - иные сведения, предусмотренные федеральными законами. 4.2. Субъект персональных данных вправе потребовать у Общества форму запроса информации, касающейся обработки персональных данных субъекта. 4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. 4.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 4.5. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему Обществом в доступной форме, и не содержат персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 4.6. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему или его представителю Обществом при обращении, либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 4.7. В случае если сведения, касающиеся обработки персональных данных субъекта, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Обществу или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 4.8. Субъект персональных данных вправе обратиться повторно к Обществу или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных субъекта, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки персональных данных субъекта, должен содержать обоснование направления повторного запроса. 4.9. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 4.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Исполнение обязанностей оператора персональных данных Обществом. 5.1. Общество исполняет обязанности, предусмотренные для операторов персональных данных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, в том числе: 5.1.1. сообщает субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, или мотивированные отказы в предоставлении такой информации в форме и случаях и в сроки, предусмотренные Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.; 5.1.2. осуществляет разъяснение субъекту персональных данных юридические последствия отказа предоставить его персональные данные в предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. случаях; 5.1.3. вносит необходимые изменения в персональные данные, уничтожает их, уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы, в срок и в случаях, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.; 5.1.4. уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в случае изменения сведений, касающихся обработки персональных данных субъектов, а также в случае прекращения обработки персональных данных в форме, в срок и случаях, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.; 5.1.5. сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в срок, предусмотренный Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.; 5.1.6. в случае достижения цели обработки персональных данных обеспечивает прекращение обработки персональных данных и их уничтожение в срок, предусмотренный Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. 5.2. В Обществе для обеспечения выполнения обязанностей, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие необходимые и достаточные меры: - назначен ответственный за организацию обработки персональных данных - изданы локальные акты по вопросам обработки и защиты персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений: o Положение об обработке персональных данных в Обществе; o Положение об обеспечении безопасности персональных данных в Обществе; o другие локальные акты по вопросам обработки и защиты персональных данных. - применены правовые, организационные и технические меры по обеспечению безопасности персональных данных; - осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Общества; - проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов; - работники Общества, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки персональных данных. 5.3. По запросу уполномоченного органа по защите прав субъектов персональных данных в Обществе обеспечена готовность подтвердить принятие мер, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. 6.1. Лица, виновные в нарушении требований Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г., во исполнение которого разработано настоящая Политика, несут гражданскую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
7. Изменение Политики. 7.1. Общество имеет право вносить изменения в настоящую Политику. 7.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. 7.3. Новая редакция Политики вступает в силу с момента ее утверждения директором Общества, если иное не предусмотрено новой редакцией Политики.