Политика конфиденциальности сайта
Политика обработки персональных данных в ФГУП «ЗащитаИнфоТранс»
(Утверждена приказом №2312-09-О от 15.12.2023)
1. Назначение и область распространения документа
1.1. ФГУП «ЗащитаИнфоТранс» ИНН 7708083600, расположенное по адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664 (далее – Предприятие, Оператор) в рамках выполнения своей деятельности осуществляет обработку персональных данных и является оператором персональных данных с соответствующими правами и обязанностями.
1.2. Настоящая Политика обработки персональных данных Предприятия, разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и иными нормативными правовыми актами Российской Федерации, определяющие основные принципы обработки и обеспечения безопасности персональных данных.
1.3. Политика обработки персональных данных Оператора разработана с целью обеспечения защиты прав и свобод физических лиц при обработке их персональных данных.
1.4. Политика обработки персональных данных опубликована на официальном сайте Оператора www.z-it.ru и общедоступна для ознакомления. Положения Политики обработки персональных данных распространяются на все процессы обработки персональных данных Оператора и на всех работников Оператора, участвующих в таких процессах.
1.5. Положения Политики обработки персональных данных служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных Оператора.
(Утверждена приказом №2312-09-О от 15.12.2023)
1. Назначение и область распространения документа
1.1. ФГУП «ЗащитаИнфоТранс» ИНН 7708083600, расположенное по адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664 (далее – Предприятие, Оператор) в рамках выполнения своей деятельности осуществляет обработку персональных данных и является оператором персональных данных с соответствующими правами и обязанностями.
1.2. Настоящая Политика обработки персональных данных Предприятия, разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и иными нормативными правовыми актами Российской Федерации, определяющие основные принципы обработки и обеспечения безопасности персональных данных.
1.3. Политика обработки персональных данных Оператора разработана с целью обеспечения защиты прав и свобод физических лиц при обработке их персональных данных.
1.4. Политика обработки персональных данных опубликована на официальном сайте Оператора www.z-it.ru и общедоступна для ознакомления. Положения Политики обработки персональных данных распространяются на все процессы обработки персональных данных Оператора и на всех работников Оператора, участвующих в таких процессах.
1.5. Положения Политики обработки персональных данных служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных Оператора.
2. Термины и сокращения
2.1. Аббревиатуры наименований подразделений
Аббревиатуры наименований подразделений в настоящем документе не применяются.
2.2. Термины
Cookie – небольшие файлы данных (обычно содержащие буквы и цифры), которые веб-сайты могут оставлять на компьютере или мобильном устройстве при посещении того или иного сайта или страницы
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
Безопасность персональных данных – защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Общедоступные персональные данные – общедоступные персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»
Оператор персональных данных – ФГУП «ЗащитаИнфоТранс» (самостоятельно или совместно с другими лицами), организующие организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, сведения о судимости субъекта персональных данных
Субъект персональных данных – физическое лицо, персональные данные которого подлежат обработке
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
2.1. Аббревиатуры наименований подразделений
Аббревиатуры наименований подразделений в настоящем документе не применяются.
2.2. Термины
Cookie – небольшие файлы данных (обычно содержащие буквы и цифры), которые веб-сайты могут оставлять на компьютере или мобильном устройстве при посещении того или иного сайта или страницы
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
Безопасность персональных данных – защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором персональных данных для установления личности субъекта персональных данных
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Общедоступные персональные данные – общедоступные персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»
Оператор персональных данных – ФГУП «ЗащитаИнфоТранс» (самостоятельно или совместно с другими лицами), организующие организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, сведения о судимости субъекта персональных данных
Субъект персональных данных – физическое лицо, персональные данные которого подлежат обработке
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
3. Принципы обработки персональных данных
Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Цели, правовые основания и способы обработки персональных данных
4.1. Обработка персональных данных субъектов персональных данных осуществляется Предприятием в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.2. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Предприятием персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и положений внутренних (локальных) нормативных документов (актов) Предприятия, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированным способом Предприятие принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных без использования средств автоматизации осуществляется Предприятием в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных в порядке, предусмотренном законодательством Российской Федерации.
4.3. Оператор осуществляет обработку и защиту персональных данных в соответствии со следующими нормативными правовыми актами:
4.4.1. Управление трудовыми взаимоотношениями Предприятия с работниками в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии и обработка необходима для достижения целей, предусмотренных трудовым законодательством Российской Федерации.
4.4.2. Поиск и подбор в целях трудоустройства кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.3. Контроль физического доступа работников Предприятия в служебные помещения Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации для осуществления прав и законных интересов Предприятия.
4.4.4. Оформление, выдача, отмена и учёт доверенностей на предоставление интересов и совершение определенных действий от имени Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.5. Ведение общедоступных справочников служебных контактных данных работников Предприятия, включая изготовление визитных карточек работников Предприятия, а также работников организаций, с которыми Предприятие заключило договоры. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии, в том числе путём заполнения установленных форм заявок работниками Предприятия на корпоративном портале.
4.4.6. Управление взаимоотношениями с контрагентами Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств, а также в случае необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.4.7. Ведение бухгалтерского и налогового учетов, а также индивидуального (персонифицированного) учёта физических лиц на Предприятии в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств в случаях, предусмотренных законодательством Российской Федерации.
4.4.8. Обеспечение работников Предприятия программами добровольного страхования, включая медицинское страхование и страхование от несчастного случая, а также прочие виды страхования. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.9. Допуск к сведениям, составляющим государственную тайну, работников и кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.10. Обеспечение работников Предприятия возможностью профессионального роста путём прохождения программ обучения, повышения квалификации, переподготовки и просвещения. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.11. Ведение корпоративного информационного портала для обмена рабочей информацией и создания комфортной информационной среды взаимодействия между работниками по вопросам жизнедеятельности Предприятия.
4.1. Обработка персональных данных субъектов персональных данных осуществляется Предприятием в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.2. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Предприятием персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства Российской Федерации и положений внутренних (локальных) нормативных документов (актов) Предприятия, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированным способом Предприятие принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных без использования средств автоматизации осуществляется Предприятием в соответствии с Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных в порядке, предусмотренном законодательством Российской Федерации.
4.3. Оператор осуществляет обработку и защиту персональных данных в соответствии со следующими нормативными правовыми актами:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации от 30.11.1994 № 51-ФЗ;
- Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ;
- Налоговым кодексом Российской Федерации от 31.07.1998 № 146-ФЗ;
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральным законом от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
- Федеральным законом от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
- Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Федеральным законом от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации».
- Устав ФГУП «ЗащитаИнфоТранс»;
- трудовые договоры с работниками Оператора;
- государственные контракты и договоры с контрагентами;
- согласия на обработку персональных данных.
4.4.1. Управление трудовыми взаимоотношениями Предприятия с работниками в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии и обработка необходима для достижения целей, предусмотренных трудовым законодательством Российской Федерации.
4.4.2. Поиск и подбор в целях трудоустройства кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.3. Контроль физического доступа работников Предприятия в служебные помещения Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации для осуществления прав и законных интересов Предприятия.
4.4.4. Оформление, выдача, отмена и учёт доверенностей на предоставление интересов и совершение определенных действий от имени Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.5. Ведение общедоступных справочников служебных контактных данных работников Предприятия, включая изготовление визитных карточек работников Предприятия, а также работников организаций, с которыми Предприятие заключило договоры. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации с согласия субъекта персональных данных на обработку его персональных данных на Предприятии, в том числе путём заполнения установленных форм заявок работниками Предприятия на корпоративном портале.
4.4.6. Управление взаимоотношениями с контрагентами Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств, а также в случае необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, или для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.4.7. Ведение бухгалтерского и налогового учетов, а также индивидуального (персонифицированного) учёта физических лиц на Предприятии в соответствии с законодательством Российской Федерации. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств в случаях, предусмотренных законодательством Российской Федерации.
4.4.8. Обеспечение работников Предприятия программами добровольного страхования, включая медицинское страхование и страхование от несчастного случая, а также прочие виды страхования. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.9. Допуск к сведениям, составляющим государственную тайну, работников и кандидатов на замещение вакантных должностей Предприятия. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.10. Обеспечение работников Предприятия возможностью профессионального роста путём прохождения программ обучения, повышения квалификации, переподготовки и просвещения. Обработка персональных данных для данной цели осуществляется с использованием средств автоматизации и без использования таких средств с согласия субъекта персональных данных на обработку его персональных данных на Предприятии.
4.4.11. Ведение корпоративного информационного портала для обмена рабочей информацией и создания комфортной информационной среды взаимодействия между работниками по вопросам жизнедеятельности Предприятия.
5. Категории обрабатываемых персональных данных
5.1. Обработке Оператором подлежат персональные данные следующих субъектов:
5.4. Предприятие не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни и биометрических персональных данных если иное не установлено законодательством Российской Федерации.
5.5. На Предприятии запрещена обработка персональных данных с целью продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
5.1. Обработке Оператором подлежат персональные данные следующих субъектов:
- работников Оператора и их близких родственников;
- уволенных работников Оператора;
- физических лиц, претендующих на замещение вакантной должности;
- контрагентов (представителей контрагентов) Оператора;
- физических лиц, персональные данные которых обрабатываются Оператором по договору;
- физических лиц, направивших обращение Предприятию либо запрос в службу технической поддержки Предприятия;
- физических лиц, являющихся представителями субъекта персональных данных;
- физических лиц, являющихся выгодоприобретателями по договорам.
- в целях управления трудовыми взаимоотношениями Предприятия с работниками в соответствии с законодательством Российской Федерации обрабатываются категории персональных данных, указанные в пунктах с 1 по 33 приложения № 1;
- в целях поиска и подбора, в целях трудоустройства кандидатов на замещение вакантных должностей Предприятия обрабатываются категории персональных данных указанные в пунктах 1, 6 – 8, 10 – 15, 19, 22, 23, 26 – 29, 33, 34 приложения № 1;
- в целях контроля физического доступа работников Предприятия в служебные помещения Предприятия обрабатываются категории персональных данных, указанные в пунктах 1, 14 приложения № 1;
- в целях оформления, выдачи, отмены и учёта доверенностей на предоставление интересов и совершение физическими лицами определенных действий от имени Предприятия обрабатываются категории персональных данных, указанные в пунктах 1, 3, 4, 6 – 10 приложения № 1;
- в целях ведения общедоступных справочников служебных контактных данных работников Предприятия и работников организаций, с которыми Предприятие заключило договоры, обрабатываются категории персональных данных, указанные в пунктах 1, 14, 22, 23 приложения № 1;
- в целях управления взаимоотношениями с контрагентами Предприятия обрабатываются категории персональных данных, указанные в пунктах 1, 3 – 9, 22 – 24 приложения № 1;
- в целях ведения бухгалтерского и налогового учетов, а также индивидуального (персонифицированного) учёта физических лиц на Предприятии в соответствии с законодательством Российской Федерации обрабатываются категории персональных данных, указанные в пунктах 1 – 12, 14 – 34 приложения № 1;
- в целях обеспечения работников программами добровольного страхования, включая медицинское страхование и страхование от несчастного случая, а также прочие виды страхования, обрабатываются категории персональных данных, указанные в пунктах 1, 3, 4 – 8, 10 – 12, 14, 21 – 25 приложения № 1;
- в целях обеспечения профессионального роста путём участия в программах обучения, повышения квалификации, переподготовки и просвещения обрабатываются категории персональных данных, указанные в пунктах 1, 3, 4 – 8, 10 – 12, 14, 21 – 25 приложения № 1;
- в целях принятия решения о допуске физического лица (работника Предприятия либо иного соискателя на вакантную должность) к сведениям, составляющим государственную тайну, обрабатываются категории персональных данных, указанные в пунктах 1 – 33 приложения № 1;
- в целях ведения корпоративного информационного портала Предприятия обрабатываются категории персональных данных, указанные в пунктах 1,8,14,22,23 приложения № 1;
- в целях обеспечения корректной работы сайта, общедоступных ресурсов и улучшения пользовательского опыта обрабатываются категории персональных данных, указанные в пункте 35 приложения № 1.
5.4. Предприятие не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни и биометрических персональных данных если иное не установлено законодательством Российской Федерации.
5.5. На Предприятии запрещена обработка персональных данных с целью продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
6. Сроки хранения персональных данных
Сроки хранения персональных данных, обрабатываемых Оператором, определяются исходя из целей обработки персональных данных в соответствии с требованиями федеральных законов Российской Федерации, требованиями операторов персональных данных, по поручению которых Оператор осуществляет обработку персональных данных сроком действия договора с субъектом персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
Сроки хранения персональных данных, обрабатываемых Оператором, определяются исходя из целей обработки персональных данных в соответствии с требованиями федеральных законов Российской Федерации, требованиями операторов персональных данных, по поручению которых Оператор осуществляет обработку персональных данных сроком действия договора с субъектом персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональным данных.
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случае, когда обработка персональных данных необходима для осуществления прав и законных интересов оператора персональных данных, или в иных случаях, предусмотренных законодательством в области обработки и обеспечения безопасности персональных данных.
7.2. Предприятие в соответствии с Законом № 152-ФЗ может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.
7.3. Предприятие в соответствии с Законом № 152-ФЗ вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Предприятием и третьим лицом, в котором должны быть определены:
7.5. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Предприятием, а обработка, соответственно, должна быть прекращена.
7.7. Предприятие осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
7.10. Предприятие обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
На Предприятии разработаны и утверждены генеральным директором Предприятия Правила обработки персональных данных, утверждённые приказом от 03.04.2020 №21-О, в которых регламентируется работа с обращениями субъектов персональных данных или их представителей и запросами уполномоченного органа по защите прав субъектов персональных данных на Предприятии.
7.1. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случае, когда обработка персональных данных необходима для осуществления прав и законных интересов оператора персональных данных, или в иных случаях, предусмотренных законодательством в области обработки и обеспечения безопасности персональных данных.
7.2. Предприятие в соответствии с Законом № 152-ФЗ может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.
7.3. Предприятие в соответствии с Законом № 152-ФЗ вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Предприятием и третьим лицом, в котором должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
- цели обработки персональных данных;
- обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных
7.5. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
7.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Предприятием, а обработка, соответственно, должна быть прекращена.
7.7. Предприятие осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
7.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
7.10. Предприятие обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
На Предприятии разработаны и утверждены генеральным директором Предприятия Правила обработки персональных данных, утверждённые приказом от 03.04.2020 №21-О, в которых регламентируется работа с обращениями субъектов персональных данных или их представителей и запросами уполномоченного органа по защите прав субъектов персональных данных на Предприятии.
8. Права и обязанности Оператора и субъектов персональных данных
8.1. Субъект персональных данных в соответствии с Законом № 152-ФЗ имеет право:
8.1. Субъект персональных данных в соответствии с Законом № 152-ФЗ имеет право:
- свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;
- направлять на Предприятие обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством Российской Федерации;
- требовать от Предприятия уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- обратиться с требованием к Предприятию прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
- предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
- по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- вести учет обращений субъектов персональных данных;
- не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
- в случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную Законом № 152-ФЗ, с учетом установленных законодательством Российской Федерации исключений;
- разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на обработку персональных данных, если предоставление персональных данных и (или) получение согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;
- прекратить обработку и уничтожить персональные данные в случаях:
- достижения целей (цели) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено Законом № 152-ФЗ или иными применимыми нормативными правовыми актами Российской Федерации;
- отзыва субъектом персональных данных своего согласия на обработку персональных данных;
- предъявлении субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Законом № 152-ФЗ;
- выявления неправомерной обработки Предприятием персональных данных (при невозможности обеспечить правомерность обработки);
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке и сроки, установленные законодательством о персональных данных;
- осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
- сообщать в Роскомнадзор по запросу этого органа необходимую информацию;
- выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
- обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
- осуществлять передачу персональных данных субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) или имеется согласие субъекта на такую передачу;
- поручить обработку персональных данных субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона № 152-ФЗ;
- отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ, и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;
- самостоятельно, с учетом требований Закона № 152-ФЗ определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
- реализовывать иные права, предусмотренные законодательством Российской Федерации.
9. Конфиденциальность персональных данных
9.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.
9.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Предприятия, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.
9.4. Предприятие не раскрывает третьим лицам и не распространяет персональных данных без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
9.5. Третьи лица, получившие доступ к персональным данным или осуществляющие обработку персональных данных по поручению Предприятия, обязуются соблюдать требования договоров и соглашений с Предприятием в части обеспечения конфиденциальности и безопасности персональных данных.
9.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.
9.2. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Предприятия, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Предприятия, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.
9.4. Предприятие не раскрывает третьим лицам и не распространяет персональных данных без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
9.5. Третьи лица, получившие доступ к персональным данным или осуществляющие обработку персональных данных по поручению Предприятия, обязуются соблюдать требования договоров и соглашений с Предприятием в части обеспечения конфиденциальности и безопасности персональных данных.
10. Безопасность персональных данных
10.1. На Предприятии соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
10.2. Безопасность персональных данных Предприятия в соответствии с Положением об обработке и защите персональных данных субъектов персональных данных на Предприятии обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры.
10.3. В целях обеспечения безопасности персональных данных на Предприятии выполняются следующие мероприятия:
10.1. На Предприятии соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
10.2. Безопасность персональных данных Предприятия в соответствии с Положением об обработке и защите персональных данных субъектов персональных данных на Предприятии обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры.
10.3. В целях обеспечения безопасности персональных данных на Предприятии выполняются следующие мероприятия:
- систематическая оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- оценка причинения вреда и (или) нанесения ущерба субъектам персональных данных в случае нарушения законодательства о персональных данных;
- определение необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах Предприятия, в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- разграничение доступа к информационным системам персональных данных, материальным носителям (документам), съемным (машинным) носителям персональных данных;
- регистрация и учет действий пользователей и администраторов информационных систем с персональных данных, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;
- предотвращение внедрения в информационные системы Предприятия вредоносных программ;
- использование защищенных каналов связи;
- резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем;
- исключение возможности бесконтрольного прохода в офисы Предприятия, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители персональных данных;
- выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности персональных данных, и реагирование на них;
- повышение уровня знаний работников Предприятия в сфере обработки и обеспечения безопасности персональных данных;
- проведение внутренних и внешних проверок (аудитов) соответствия безопасности персональных данных требованиям Политики, внутренних (локальных) документов (актов) Предприятия, требованиям законодательства о персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных и совершенствование системы защиты персональных данных.
11. Заключительные положения
11.1. Политика является общедоступной и подлежит размещению на официальном веб-сайте Предприятия https//www.z-it.ru.
11.2. Пересмотр Политики осуществляется:
11.4. За невыполнение требований Политики все работники Предприятия, имеющие доступ к персональным данным, несут ответственность в соответствии с законодательством Российской Федерации.
11.5. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.6. Субъекты персональных данных, чьи персональные данные обрабатываются Предприятием, могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующее письменное обращение в ФГУП «ЗащитаИнфоТранс» по почтовому адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664.
11.7. Обращения от субъекта персональных данных или его представителя должно содержать сведения, позволяющие идентифицировать субъекта персональных данных и его представителя (в случае наличия), а также сведения, позволяющие установить характер отношений с Предприятием, в частности:
11.1. Политика является общедоступной и подлежит размещению на официальном веб-сайте Предприятия https//www.z-it.ru.
11.2. Пересмотр Политики осуществляется:
- при изменении законодательства Российской Федерации в области обработки персональных данных либо при получении предписаний на устранение несоответствий, затрагивающих область действия Политики;
- по решению генерального директора Предприятия;
- при появлении необходимости в изменении целей, принципов и условий обработки персональных данных на Предприятии.
11.4. За невыполнение требований Политики все работники Предприятия, имеющие доступ к персональным данным, несут ответственность в соответствии с законодательством Российской Федерации.
11.5. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.6. Субъекты персональных данных, чьи персональные данные обрабатываются Предприятием, могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующее письменное обращение в ФГУП «ЗащитаИнфоТранс» по почтовому адресу: 117105, г. Москва, Варшавское ш., д. 9, стр. 1, корпус Мещерин, антресоль мансарды, пом. 664.
11.7. Обращения от субъекта персональных данных или его представителя должно содержать сведения, позволяющие идентифицировать субъекта персональных данных и его представителя (в случае наличия), а также сведения, позволяющие установить характер отношений с Предприятием, в частности:
- фамилию, имя, отчество субъекта персональных данных или его представителя, серию, номер документа, удостоверяющего личность субъекта персональных данных либо его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, а также подпись субъекта персональных данных либо его представителя;
- в случае, если обращение направлено представителем субъекта персональных данных, оно должно содержать копию документа, подтверждающего полномочия такого представителя.
12. Нормативные документы
12.1. Учтенные документы
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.2. Отменяемые документы
Политика обработки персональных данных ФГУП «ЗащитаИнфоТранс» от 12.02.2019.
12.1. Учтенные документы
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.2. Отменяемые документы
Политика обработки персональных данных ФГУП «ЗащитаИнфоТранс» от 12.02.2019.
Приложение № 1
Перечень категорий персональных данных, обрабатываемых на Предприятии
Перечень категорий персональных данных, обрабатываемых на Предприятии