1. Общие положения

1.1. Настоящий документ определяет политику АО «КОНДЕ НАСТ» (далее – Компания) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.

1.2. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

1.3. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.

1.4. Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

1.5. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.

2. Введение

2.1. В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Компания не осуществляет обработку персональных данных по поручению другого оператора.

2.2. Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина - субъекта персональных данных при обработке его персональных данных.

2.3. В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

3. Принципы и условия обработки персональных данных в Компании

3.1 Компания, являясь оператором, осуществляет обработку персональных данных следующих субъектов:

  1. соискателей на замещение вакантных должностей – в составе и сроком, необходимыми для принятия Компанией решения о приеме либо отказе в приеме на работу и формирования кадрового резерва с согласия субъекта персональных данных;
  2. работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  3. работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  4. родственников работников Компании – в составе и сроком, необходимыми для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
  5. физических лиц по договорам гражданско – правового характера, представителей контрагентов – в составе и сроком, необходимыми для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.2. Сроки обработки персональных данных определены с учетом:

  1. установленных целей обработки персональных данных;
  2. сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
  3. сроков, определенных Приказом Минкультуры РФ от 25 августа 2010г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
  4. сроков хранения документации, установленных внутренними нормативными актами Компании.

3.3. Компания осуществляет обработку персональных данных на законной и справедливой основе.

3.4. При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.5. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).

3.6. В Компании не создаются общедоступные источники персональных данных.

3.7. Компания осуществляет обработку специальных категорий персональных данных. При этом Компания выполняет все требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. В Компании не осуществляется обработка персональных данных о судимости.

3.8. Компания не осуществляет обработку биометрических персональных данных.

3.9. Компания не осуществляет трансграничную передачу персональных данных.

3.10. Компания не осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Компания не осуществляет обработку персональных данных в целях политической агитации.

3.11. В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

3.12. Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

3.13. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4. Права субъектов персональных данных, обрабатываемых в Компании

4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: 125009, г. Москва, ул. Большая Дмитровка, д.11, стр. 7 в порядке, установленном ст.14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

4.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Для реализации указанных требований субъект персональных данных может отправить письменный запрос по адресу: 125009, г. Москва, ул. Большая Дмитровка, д.11, стр. 7 в порядке, установленном ст.21 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

5. Исполнение обязанностей оператора Компанией

5.1. Компания получает персональные данные от субъектов персональных данных, от третьих лиц (лиц, не являющихся субъектами персональных данных) и из общедоступных источников персональных данных (в том числе в информационно-телекоммуникационной сети «Интернет»). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.

5.2. Компания прекращает обработку персональных данных в следующих случаях:

  1. по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;
  2. по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  3. в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  4. в случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);
  5. устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;
  6. в случае ликвидации или реорганизации Компании.

5.3. В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

  1. назначен Ответственный за организацию обработки персональных данных;
  2. изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
    • Положение об обработке персональных данных;
    • Положение об организации и обеспечении защиты персональных данных
    • другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных.
  3. применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  4. осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
  5. проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов;
  6. работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.

5.4. В Компании реализуются следующие требования к защите персональных данных:

  1. организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  2. реализовано обеспечение сохранности носителей персональных данных;
  3. руководителем Компании утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  4. для нейтрализации актуальных угроз безопасности персональных данных используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;
  5. назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных;
  6. реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».