Политика ООО «МАС Проджект» в отношении обработки персональных данных определяется настоящим Положением:
Положение об обработке персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных (далее - "Положение") подготовлено и применяется ООО «МАС Проджект» (ОГРН 1143850047428, адрес места нахождения: 665830, Иркутская обл., г Ангарск, кв-л 59-й, д. 1, оф 314, далее – "Общество") в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Настоящее Положение определяет политику, порядок и условия Общества в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.2. Основные понятия, используемые в данном Положении: - персональные данные (далее – ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); - субъект персональных данных - работники Общества, клиенты и контрагенты Общества (физические лица), представители/работники клиентов и контрагентов Общества (юридических лиц); - оператор персональных данных (оператор) - Общество, его аффилированные лица и субподрядчики; - обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. - автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; - распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; - блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); - уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; - обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; - информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; - трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4. Целью обработки персональных данных является: - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; - продвижение товаров, работ, услуг Общества на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, заключения гражданскоправовых договоров и рассмотрения обращений физических лиц; - обеспечение работы программных продуктов, изготовленных, распространяемых либо предлагаемых Обществом, в том числе для оказания соответствующих услуг при исполнении Обществом гражданско-правовых договоров, заключенных с его контрагентами; - обеспечение кадровой работы, в том числе в целях содействия работникам Общества в выполнении возложенных на них трудовых функций, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения работниками Общества должностных обязанностей, контроля количества и качества выполняемой работы, обеспечения личной безопасности работников и обеспечения сохранности имущества, обеспечения работникам Компании установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.

1.5. Обработка организована Обществом на принципах: - законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Общества; - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; - обработки только персональных данных, которые отвечают целям их обработки; - соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой; - обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных; - хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.

1.7. Обработка персональных данных Обществом осуществляется с использованием средств автоматизации и без использования средств автоматизации.

1.8. В соответствии с поставленными целями и задачами Общество до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже начальника структурного подразделения, именуемого далее "Лицо, ответственное за обработку ПД".

1.9. Лицо, ответственное за обработку ПД получает указания непосредственно от единоличного исполнительного органа Общества и подотчетен ему.

1.10. Настоящее Положение и изменения к нему утверждаются руководителем Общества и вводятся приказом Общества.

1.11. Сотрудники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с настоящим Положением и изменениями к нему, иными локальными актами по вопросам обработки персональных данных.

1.12. При обработке персональных данных Общество применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.13. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Обществом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.

1.14. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Общество до начала обработки персональных данных обязано опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационнотелекоммуникационной сети.

1.15. Условия обработки персональных данных Обществом: - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.16. Общество на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

1.17. Контроль за соблюдением сотрудниками Общества требований законодательства и положений локальных нормативных актов Общества, а также аудит соблюдения Обществом требований законодательства и положений локальных нормативных актов Общества осуществляет Лицо, ответственное за обработку ПД.

2. МЕРЫ ПРИНИМАЕМЫЕ ОБЩЕСТВОМ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработку персональных данных, прием, обработку обращений и запросов субъектов персональных данных или их представителей организует Лицо, ответственное за обработку ПД.

2.2. Обработка ПД осуществляется при заключении, исполнении и расторжении гражданско-правовых договоров персональных данных граждан, являющихся контрагентами Общества либо работниками контрагентов Общества.

2.3. ПД обрабатываемыми при заключении, исполнении и расторжении гражданскоправовых договоров являются: - имя субъекта персональных данных; - фамилия, отчество (при наличии) субъекта персональных данных (при необходимости); - контактный телефон, факс (при наличии) субъекта персональных данных; - адрес электронной почты субъекта персональных данных; - вид документа, удостоверяющего личность субъекта персональных данных (при необходимости); - серия и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе (при необходимости); - адрес регистрации и адрес фактического проживания субъекта персональных данных (при необходимости); - почтовый адрес субъекта персональных данных (при необходимости); - сведения о профессии субъекта персональных данных (при необходимости).

2.4. Обработка ПД также осуществляется автоматизированной системой управления персоналом (АСУП).

2.5. АСУП содержит ПД работников Общества и включает: - персональный идентификатор; - фамилию, имя, отчество субъекта персональных данных; - вид документа, удостоверяющего личность субъекта персональных данных; - серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе; - адрес регистрации и адрес фактического проживания субъекта персональных данных; - почтовый адрес субъекта персональных данных; - контактный телефон, факс (при наличии) субъекта персональных данных; - адрес электронной почты субъекта персональных данных; - ИНН субъекта персональных данных; - номер страхового свидетельства обязательного пенсионного страхования.

2.6. Сотруднику Общества, имеющему право осуществлять обработку ПД, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Общества в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Общества. Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

2.7. Обеспечение безопасности ПД, обрабатываемых в информационных системах Общества, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, а также принятия следующих мер по обеспечению безопасности: - определение актуальных угроз безопасности ПД и информационных технологий, используемых в информационных системах; - применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Общества, необходимых для выполнения требований к защите ПД данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД; - применение процедур оценки соответствия средств защиты информации; - оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы; - учет машинных носителей ПД; - обеспечение работоспособного функционирования компьютерной техники с ПД в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации; - обнаружение и регистрация фактов несанкционированного доступа к ПД, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие мер; - восстановление ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним; - установление правил доступа к ПД, обрабатываемым в информационных системах Общества, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах Общества; - контроль за принимаемыми мерами по обеспечению безопасности ПД и уровней защищенности информационных систем.

2.8. Лицо, ответственное за обработку ПД принимает все необходимые меры по восстановлению ПД, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

2.9. Обмен ПД при их обработке в информационных системах Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.10. Доступ сотрудников Общества к ПД, находящимся в информационных системах Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

2.11. В случае выявления нарушений порядка обработки ПД в информационных системах Общества уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОБЩЕСТВОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Общество обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате.

3.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

3.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.

3.5.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Общества. При этом рабочее место сотрудника Общества, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также вести аудиозапись переговоров. В описанных условиях аудиозапись является надлежащей.

3.5.2. Для письменного согласия достаточно простой письменной формы. Нажатием кнопки «Зарегистрироваться» на сайте Общества, субъект персональных данных подтверждает свое предварительное согласие на обработку свои персональных данных, простая письменная форма считается соблюденной.

3.6. Общество обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.7. Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3.8. Общество в течение 30 (тридцати) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.9. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Обществом с иностранным контрагентом.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Лицо, ответственное за обработку ПД, обязано: - организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Обществом, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД; - осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД; - доводить до сведения сотрудников Общества положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД; - организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов; - в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.

4.2. Лицо, ответственное за обработку ПД, вправе: - иметь доступ к информации, касающейся порученной ему обработки ПД и включающей: - цели обработки ПД; - категории обрабатываемых ПД; - категории субъектов, персональные данные которых обрабатываются; - правовые основания обработки ПД; - перечень действий с персональными данными, общее описание используемых в Обществе способов обработки ПД; - описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; - дату начала обработки ПД; - срок или условия прекращения обработки ПД; - сведения о наличии или об отсутствии трансграничной передачи ПД в процессе их обработки; - сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации; - привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Общества с возложением на них соответствующих обязанностей и закреплением ответственности.

4.3. В соответствии с целями, задачами, условиями Общество осуществляет сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПД по следующим процедурам: - получения оригиналов необходимых документов; - копирования оригиналов документов; - внесения сведений в учетные формы (на бумажных и электронных носителях, в т.ч. на сайте Общества и при использовании субъектом персональных данных программного обеспечения Общества); - формирования персональных данных в ходе кадровой работы.

4.4. В соответствии с поставленными целями и задачами хранение, извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только Лицом, ответственным за обработку ПД.

4.5. Хранение ПД осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПД, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.6. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Лицом, ответственным за обработку ПД, по следующей процедуре:

4.6.1. Лицом, ответственным за обработку ПД, ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - "описи дел"), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).

4.6.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются Лицом, ответственным за обработку ПД, одновременно.

4.6.3. Описи и акты утверждаются единоличным исполнительным органом Общества только после утверждения описей дел постоянного хранения и рассмотрения актов о выделении к уничтожению документов.

4.6.4. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются Лицом, ответственным за обработку ПД.

4.6.5. По окончании процедуры уничтожения составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп "Уничтожено. Акт (дата, N)", заверяется подписью Лица, ответственным за обработку ПД.

4.6.6. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.

4.6.7. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОРГАНИЗАЦИЯМИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ С ПРИМЕНЕНИЕМ СИСТЕМЫ ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ

5.1. На основании двух- и многосторонних соглашений Общество осуществляет обработку ПД в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия.

5.2. В рамках системы электронного взаимодействия Общество на основании поступивших запросов направляет информацию, включающую персональные данные субъектов.

5.3. В рамках системы электронного взаимодействия Общество вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.

5.4. Прекращение действия соглашения с другой организацией является основанием для уничтожения Обществом обработанных в рамках такого соглашения ПД.

6. ОБЯЗАННОСТИ ЕДИНОЛИЧНОГО ИСПОЛНИТЕЛЬНОГО ОРГАНА ОБЩЕСТВА И СОТРУДНИКОВ ОБЩЕСТВА

6.1. Единоличный исполнительный орган Общества: - оказывает содействие лицу, ответственному за обработку ПД, в выполнении им своих обязанностей; - организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Общества, а также причин и условий, способствовавших совершению нарушения.

6.2. Сотрудники Общества: - оказывают содействие Лицу, ответственному за обработку ПД, в выполнении им своих обязанностей; - незамедлительно доводят до сведения своего непосредственного руководителя и Лица, ответственное за обработку ПД, сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Общества другими сотрудниками Общества или контрагентами Общества.

7. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

7.1. Контроль за исполнением Положения возложен на Единоличный исполнительный орган Общества.

7.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.

7.3. Руководители структурных подразделений Общества несут персональную ответственность за исполнение обязанностей их подчиненными.