Политика АО «ИнфоТеКС» в отношении обработки персональных данных

Список сокращений

ПДн — Персональные данные

ПО — Программное обеспечение

Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1. Общие положения

  • 1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) является внутренним нормативным документом АО «ИнфоТеКС» (здесь и далее — Оператор), определяющим основные принципы, цели, способы и условия обработки Оператором персональных данных, а также соответствующие права и обязанности Оператора и субъектов персональных данных.
  • 1.2. Политика разработана в целях реализации требований законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных.

    • 2. Основные принципы обработки персональных данных

  • 2.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
  • 2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Оператором не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • 2.3. Оператором не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • 2.4. Оператор обрабатывает только те персональные данные, которые отвечают целям их обработки.
  • 2.5. Содержание и объем обрабатываемых Оператором персональных данных соответствует заявленным целям обработки. Обрабатываемые Оператором персональные данные не являются избыточными по отношению к заявленным целям их обработки.
  • 2.6. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
  • 2.7. Хранение Оператором персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, является субъект персональных данных. Обрабатываемые Оператором персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    • 3. Права и обязанности субъектов персональных данных

  • 3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    • подтверждение факта обработки персональных данных Оператором;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Оператором способы обработки персональных данных;
    • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими федеральными законами.

  • 3.2. Субъект ПДн имеет право требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • 3.3. Субъект ПДн имеет право отозвать согласие на обработку персональных данных.
  • 3.4. Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, то он имеет право обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • 3.5. Субъект ПДн имеет право осуществлять иные права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 3.6. Субъект ПДн обязан предоставлять Оператору достоверные персональные данные и оформлять согласие на обработку ПДн в соответствии с требованиями законодательства;
  • 3.7. Субъект ПДн обязан своевременно уведомлять Оператора ПДн об изменении своих персональных данных.

    • 4. Права и обязанности Оператора

  • 4.1. Оператор обязан осуществлять обработку персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 4.2. Оператор обязан назначать лицо, ответственное за организацию обработки персональных данных.
  • 4.3. Оператор обязан принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, неправомерного уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
  • 4.4. Оператор обязан сообщать в установленном законом порядке субъектам персональных данных или их представителям информацию об обработке и наличии персональных данных, относящихся к соответствующим субъектам персональных данных, а также предоставлять возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
  • 4.5. Оператор обязан предоставить документы и локальные акты и (или) иным образом подтвердить принятие мер, направленных на обеспечение выполнения Оператором своих обязанностей в отношении обработки персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных. Оператор, получивший доступ к персональным данным, обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  • 4.6. Оператор обязан исполнять иные обязанности, возложенные на Оператора законодательством Российской Федерации в области персональных данных.
  • 4.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 4.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
  • 4.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

    • 5. Цели обработки персональных данных

  • 5.1. Персональные данные обрабатываются Оператором для достижения следующих целей:

    • реализация видов деятельности, определенных уставом Оператора;
    • организация учета работников Оператора с учетом соблюдения законодательства и иных нормативных правовых актов Российской Федерации;
    • содействие работнику в трудоустройстве, обучении, продвижении по службе;
    • пользование различного вида льготами и выполнение требований, возложенных на Оператора в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», «Об архивном деле в Российской Федерации», «О воинской обязанности и военной службе» и соответствующими им подзаконными актами;
    • осуществление маркетинговой деятельности АО «ИнфоТеКС»;
    • взаимодействие с участниками проводимых мероприятий в рамках их планирования, организации и проведения;
    • осуществление односторонних и иных сделок в рамках возникновения, изменения и прекращения правоотношений Оператора с третьими лицами;
    • осуществление доступа на объекты АО «ИнфоТеКС» (посетителей, работников и других субъектов ПДн);
    • реализация обратной связи и осуществление взаимодействия с Оператором;
    • регистрация на сайтах Оператора;
    • подготовка к заключению договора с клиентом через сайт Оператора (формирование заявки на оказание услуги, выставление счёта, регистрация в личном кабинете и др.);
    • оказание услуг по технической поддержке клиентов через сайт Оператора.

    6. Правовые основания обработки персональных данных

  • 6.1. Оператор осуществляет обработку персональных данных субъектов ПДн в соответствии со следующими нормативными правовыми актами:

    • Конституция Российской Федерации;
    • Гражданский кодекс Российской Федерации;
    • Налоговый кодекс Российской Федерации;
    • Трудовой кодекс Российской Федерации;
    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
    • Приказ Министерства культуры и массовых коммуникаций Российской Федерации от 31.07.2007 № 1182 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения»;
    • Приказ Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
    • Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
    • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
    • Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
    • иные нормативные правовые акты, являющиеся основанием в соответствии с действующими нормами законодательства в области персональных данных.

    7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

  • 7.1. Категории субъектов персональных данных

    • Субъектами персональных данных, обрабатываемых Оператором, являются:

    • работники Оператора;
    • близкие родственники работников Оператора;
    • клиенты и потенциальные клиенты;
    • участники мероприятий, организуемых Оператором;
    • лица, заключающие договоры с Оператором (представители этих лиц);
    • соискатели (кандидаты) на вакантные должности;
    • работники контрагентов по гражданско-правовым договорам, заключенным с Оператором;
    • посетители офисов Оператора;
    • пользователи сайтов Оператора;
    • иные лица, выразившие согласие на обработку Оператором их персональных данных, а также направившие Оператору поступившие к нему заявления и обращения.

  • 7.2. Категории обрабатываемых персональных данных

    • В информационных системах персональных данных обрабатываются следующие категории персональных данных:

    • фамилия, имя, отчество;
    • год, число, месяц рождения, место рождения;
    • пол;
    • гражданство;
    • основной государственный регистрационный номер индивидуального предпринимателя (если есть);
    • паспортные данные или данные иного документа, его заменяющего (серия и номер, кем и когда выдан, фотография);
    • адрес регистрации;
    • адрес фактического места жительства;
    • номера телефонов;
    • номер страхового свидетельства ПФ РФ;
    • идентификационный номер налогоплательщика;
    • образование: серия и номер диплома, название учебного заведения, год окончания учебного заведения, специальность;
    • ученая степень, ученое звание;
    • место работы;
    • должность;
    • информация о прежних местах работы: месяц и год начала работы, месяц и год окончания работы, название организации, должность;
    • отношение к воинской обязанности: годность к военной службе, номер военного билета, военно-учетная специальность, звание;
    • информация о доходах;
    • наличие судимостей (в момент приема на работу);
    • семейное положение;
    • информация о детях;
    • сведения о супруге;
    • сведения о родителях;
    • сведения о заграничном паспорте (если есть): серия и номер, кем и когда выдан (в момент приема на работу);
    • факты выезда за границу (в момент приема на работу);
    • номер полиса медицинского страхования;
    • сведения, содержащиеся в больничных листах (листах временной нетрудоспособности);
    • медицинские заключения в отношении годности (ограничений) к трудовой (в т.ч. профессиональной) деятельности;
    • адреса электронной почты;
    • адрес личного сайта.

    Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

    8. Порядок и условия обработки персональных данных

  • 8.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных кроме случаев, описанных в п.8.2 — 8.5.
  • 8.2. Обработка персональных данных может осуществляться без согласия субъекта персональных данных в случаях, установленных законодательством Российской Федерации. Случаи, когда согласие субъекта на обработку его персональных данных не требуется, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и положениями федерального законодательства.
  • 8.3. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования и включает в себя, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • 8.4. Оператор обеспечивает хранение персональных данных с использованием баз данных, находящихся на территории Российской Федерации в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 8.5. Оператор осуществляет обработку персональных данных, полученных от лиц, не являющихся субъектами персональных данных, при наличии оснований, предусмотренных ч. 8 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    • 9. Актуализация и уничтожение персональных данных, ответы на запросы и обращения субъектов персональных данных

  • 9.1. В случае подтверждения факта неправомерности обработки персональных данных, Оператор прекращает их обработку в срок, не превышающий трех рабочих дней с даты этого выявления.
  • 9.2. В случае подтверждения факта неточности персональных данных, уточнение неточных персональных данных осуществляется в срок, не превышающий семи рабочих дней.
  • 9.3. Обработка запросов субъектов персональных данных и их законных представителей, а также уполномоченных органов осуществляется Оператором в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  • 9.4. Предоставление Оператором информации в ответ на запросы и обращения субъектов персональных данных, а также уничтожение персональных данных осуществляется в порядке и в сроки, которые установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

    • 10. Обеспечение безопасности персональных данных

  • 10.1. Информация, относящаяся к персональным данным, ставшая известной Оператору, подлежит защите.
  • 10.2. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К указанным мерам Оператора, в том числе, относятся следующие меры:

    • назначен ответственный за организацию обработки персональных данных;
    • утверждены локальные акты по вопросам обработки персональных данных, предотвращения, выявления и устранения последствий нарушений законодательства Российской Федерации с обязательным ознакомлением с ними сотрудников Оператора;
    • сотрудники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области персональных данных, а также соответствующих локальных актов;
    • осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым нормативным правовым актам, требованиям к защите персональных данных, локальным актам Оператора;
    • обеспечена физическая безопасность помещений и средств обработки персональных данных, пропускной режим, охрана, видеонаблюдение;
    • ограничен и разграничен доступ сотрудников и иных лиц к персональным данным и средствам обработки, осуществляется контроль обработки персональных данных;
    • внедрены различные средства обеспечения информационной безопасности (антивирусные средства, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты информации);
    • иные меры, предусмотренные законодательством Российской Федерации и исполнительными органами государственной власти, уполномоченными осуществлять нормативное регулирование в области обработки и обеспечения безопасности персональных данных.

    11. Продолжительность обработки персональных данных

  • 11.1. Если иное не предусмотрено законодательством Российской Федерации либо договором Оператора с субъектом персональных данных, срок прекращения обработки (хранения) персональных данных не превышает 30 календарных дней с даты достижения целей обработки персональных данных или с даты отзыва субъектом персональных данных согласия на обработку персональных данных.

    • 12. Условия прекращения обработки персональных данных

  • 12.1. Оператор прекращает обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора, в следующих случаях:

    • выявление неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора;
    • достижения цели обработки персональных данных;
    • отзыва субъектом персональных данных согласия на обработку его персональных данных;
    • истечение срока действия согласия субъекта персональных данных на обработку его персональных данных;
    • прекращение деятельности Оператора.

    13. Заключительные положения

  • 13.1. Действующая редакция Политики доступна на сайте Оператора и по адресу места нахождения Оператора.
  • 13.2. В отношении отдельных информационных систем ПДн Оператора (например, интернет сайтов, мобильных приложений), могут издаваться отдельные документы (например, политики обработки данных, политики конфиденциальности, Privacy Policy), определяющие политику Оператора в отношении обработки ПДн и регламентирующие обработку персональных данных в связи с использованием соответствующих систем.
  • 13.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом защиты информации Оператора в пределах их полномочий.