Общие положения
  • Настоящая Политика в отношении обработки персональных данных (далее - Политика) ООО «Англотерра» (далее - Оператор) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
  • Цель настоящей Политики - обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее - ПДн).
  • Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «Англотерра» вопросы обработки ПДн работников ООО «Англотерра» и других субъектов ПДн.

Основные понятия
  • Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
  • Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
  • Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Цели обработки персональных данных, их категории и перечень, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных
№1
цель обработки персональных данных Ведение кадрового и бухгалтерского учета
категории персональных данных фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, доходы, пол, адрес электронной почты, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, реквизиты банковской карты, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании; 
категории субъектов, персональные данные которых обрабатываются Работники; 
правовое основание обработки персональных данных обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 
перечень действий с персональными данными Сбор, Хранение, Уточнение (обновление, изменение), Использование; 
обработка персональных данных смешанная, без передачи по внутренней сети юридического лица, без передачи по сети Интернет
№2
цель обработки персональных данных Подготовка, заключение и исполнение гражданско-правового договора
категории персональных данных фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,пол,адрес электронной почты,адрес регистрации,номер телефона,СНИЛС,ИНН,гражданство,данные документа, удостоверяющего личность,данные документа, содержащиеся в свидетельстве о рождении; 
категории субъектов, персональные данные которых обрабатываются Клиенты, Посетители сайта; В случае, когда субъект ПДн несовершеннолетний в возрасте до 18 лет его ПДн Оператору предоставляют родители (законные представители).
правовое основание обработки персональных данных обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных,обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; 
перечень действий с персональными данными Сбор, Хранение, Использование, Удаление, Уничтожение; 
обработка персональных данных смешанная, без передачи по внутренней сети юридического лица, с передачей по сети Интернет

 

Правовое основание обработки персональных данных

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно- правовых актов:

  • Конституции Российской Федерации;
  • Трудового кодекса Российской Федерации;
  • Гражданского кодекса Российской Федерации;
  • Федерального закона от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
  • Постановления от 1 ноября 2012 г. № 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
  • приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • приказа ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
  • иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти;
  • уставных документов Оператора;
  • договоров, заключаемых между Оператором и субъектом персональных данных.

 

Порядок и условия обработки персональных данных

Оператор обрабатывает ПДн:

в случаях:

  • согласия субъекта персональных данных на обработку его данных;
  • когда обработка ПДн необходима для осуществления и выполнения Оператором возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
  • когда осуществляется обработка общедоступных ПДн, доступ к которым субъект ПДн предоставил неограниченному кругу.
следующими способами:
  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.
в сроки:
  • которые необходимы для достижения целей обработки ПДн;
  • действия согласия субъекта Пдн;
  • которые определены законодательством для обработки отдельных видов ПДн.

Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Англотерра» не осуществляется.

Хранение ПДн
  • Оператор хранит Пдн в течение срока, необходимого для достижения целей их обработки, документы, содержащие Пдн, - в течение срока хранения документов, предусмотренного номенклатурой дел с учетом архивных сроков хранения.
  • Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
Прекращение обработки ПДн

Лица, ответственные за обработку Пдн, прекращают их обрабатывать:

  • при достижении целей обработки ПДн;
  • истечения срока действия согласия;
  • отзыве субъектом Пдн своего согласия на обработку ПДн,
  • при отсутствии правовых оснований для продолжения обработки без согласия;
  • выявлении неправомерной обработки ПДн.
Уничтожение ПДн:

при достижении целей обработки ПДн, а также в случае отзыва субъектом Пдн согласия на их обработку Пдн подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иными федеральными законами; иное не предусмотрено иным соглашением между Оператором и субъектом ПДн.

 

Сведение о третьих лицах, участвующих в обработке персональных данных
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет ПДн следующим организациям:

  • Федеральной налоговой службе РФ.
  • Отделению Пенсионного фонда РФ по Нижегородской области.
  • Фонду социального страхования РФ.
  • Федеральной службе государственной статистики РФ.
  • Фонду обязательного медицинского страхования РФ.
  • Кредитным организациям (с согласия субъекта).
  • Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления.
  • Органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Оператор не поручает обработку ПДн другим лицам на основании договора.
Оператор не производит трансграничную (на территории иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

 

Обеспечение защиты персональных данных при их обработке Оператором
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

  • назначение Оператором ответственного за организацию обработки ПДн;
  • издание Оператором документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону от 27 июля 2006 года № 152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
  • определение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июля 2006 года № 152 «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных»;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

 

Право субъекта персональных данных на доступ к его персональным данным

Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор вправе отказать субъекту ПДн в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Оператором;
  • правовые основания и цели обработки ПДн;
  • применяемые Оператором способы обработки ПДн;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных»;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения предусмотренные Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» или другими федеральными законами.

Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона от 27 июля 2006 года № 152 «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов ПДн, или в судебном порядке.

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

Заключительные положения

Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте ООО «Англотерра».

Настоящая политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в ООО «Англотерра».

Ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с действующим законодательством Российской Федерации.