Политика конфиденциальности

Приложение № 1 к Приказу №1 от 01.09.2024 г.

«Об утверждении Политики обработки персональных данных,

Положения о защите персональных данных

и мероприятий по обработке и защите персональных данных»

Политика обработки персональных данных

1.Общие положения

1.1.Настоящая политика обработки и защиты персональных данных (далее по тексту – «Политика») определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в ООО «Финансовые продажи и сервис» (ООО «ФПС») (далее по тексту – «Организация») в соответствии с п. 2, ч. 1, ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2.Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Организации с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3.Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Организации, разрабатываются с учетом положений Политики.
1.4.Действие Политики распространяется на персональные данные, которые Организация, обрабатывает с использованием и без использования средств автоматизации.
1.5.В Политике используются следующие основные понятия:
-персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу субъекту персональных данных
(далее по тексту – «ПДн»);
-оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;
-обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;  автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
-распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц;
-предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
-блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
-уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн;
-обезличивание ПДн – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;
-информационная система – совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
-трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Организация обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки ПДн в соответствии с ч. 2 ст. 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

1.6. Организация – оператор ПДн – обязано:
1.6.1.Соблюдать конфиденциальность ПДн, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта ПДн, если иное не предусмотрено законодательством.
1.6.2.Обеспечить субъектам ПДн, возможность ознакомления с документами и материалами, содержащими ПДн, если иное не представлено законодательством.
1.6.3.Разъяснять субъектам ПДн, юридические последствия отказа предоставить ПДн.
1.6.4.Блокировать и удалять не правомерно обрабатываемые, неточные ПДн либо обеспечивать их блокирование или удаление.
1.6.5.Прекратить обработку ПДн либо обеспечить прекращение обработки и уничтожение персональных данных при достижении цели их обработки.
1.6.6.Прекратить обработку ПДн или обеспечить прекращение обработки ПДн в случае отзыва субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено договором, стороной которого является субъект ПДн, или иным соглашением между Организацией и субъектом ПДн.

1.7. Организация вправе:
1.7.1.Использовать ПДн субъектов без их согласия в случаях, предусмотренных законодательством.
1.7.2.Предоставлять ПДн субъектов ПДн третьим лицам в случаях, предусмотренных законодательством.
1.8. Субъекты ПДн обязаны:
1.8.1.В случаях, предусмотренных законодательством, предоставлять Организации достоверные ПДн.
1.8.2.При изменении ПДн, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Организации.

1.9. Субъекты ПДн вправе:
1.9.1.Получать информацию, касающуюся обработки своих ПДн, кроме случаев, когда такой доступ органичен федеральными законами.
1.9.2.Требовать от Организации уточнить ПДн, блокировать их или уничтожить, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.9.3.Дополнить ПДн оценочного характера заявлением, выражающим собственную точку зрения.
1.9.4.Обжаловать действия или бездействие в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

2.Принципы и условия обработки персональных данных
2.1.Целями сбора ПДн Организации являются:
2.1.1.Исполнение трудового законодательства РФ в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе в виде ведения кадрового и бухгалтерского учета.
2.1.2.Формирование базы контрагентов для заключения и исполнения договоров.
2.1.3.Исполнение обязательств по договорам осуществляется обработка ПДн по поручению контрагентов.

3.Правовые основания обработки персональных данных
3.1.Правовыми основаниями ПДн в Организации являются устав и нормативные правовые акты, для исполнения которых и в соответствии с которыми Организация осуществляет обработку ПДн, в том числе:
–Трудовой кодекс, иные нормативные правовые акты, содержащие нормы трудового права;
–Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
–Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
–Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»,
–Устав ООО «ФПС»;– Положение об обработке и защите персональных данных ООО «ФПС».

4.Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Организация обрабатывает ПДн принадлежащих:
–работникам, в том числе и бывшим;
–из родственникам и супругам;
–кандидатам на замещение вакантных должностей;
–контрагентам – физическим лицам;
–физическим лицам – представителям контрагентов;
–физическим лицам, выступающим без доверенности от имени контрагентов – юридических лиц.
4.2.Специальные категории ПДн Организация обрабатывает только на основании и согласно требованиям федеральных законов.
4.3.Биометрические данные Организация не обрабатывает.
4.4.Организация обрабатывает ПДн в объеме, необходимом:
–для осуществления своей основной деятельности;
–выполнения функций и полномочий работодателя в трудовых отношениях;
–выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета;
–исполнение сделок и договоров гражданско-правового характера, в которых Организация является стороной.
4.5. Содержание и объем обрабатываемых ПДн в Организации соответствуют заявленным целям обработки.

5.Порядок и условия обработки персональных данных
5.1.Организация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление и уничтожение ПДн.
5.2.Получение персональных данных:
5.2.1.Все ПДн Организация получает от субъекта ПДн.
5.2.2.Организация сообщает субъекту ПДн цели, предполагаемые источники и способы получения ПДн, перечень действий с ПДн, срок, в течение которого действует согласие на получение ПДн, порядок его отзыва, а также последствия отказа субъекта ПДн дать согласие на получение ПДн.
5.3.Обработка персональных данных:
5.3.1.Организация обрабатывает персональные данные в следующих случаях:
–субъект ПДн дал согласие на обработку своих ПДн;
–обработка ПДн необходима для выполнения Организацией возложенных на него законодательством функций, полномочий и обязанностей.
5.3.2. Организация обрабатывает персональные данные:
–без использования средств автоматизации;
–с использованием средств автоматизации в программе Организации.
5.3.3. Организация обрабатывает персональные данные в сроки:
–необходимые для достижения целей обработки ПДн;
–определенные законодательством для обработки отдельных видов ПДн; – указанные в согласии субъекта ПДн.
5.4. Хранение персональных данных:
5.4.1.Организация хранит ПДн в течение срока, необходимого для достижения целей их обработки, а документы, содержащие ПДн, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.
5.4.2.ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.
5.4.3.ПДн, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
5.4.4.При автоматизированной обработке ПДн данных не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) информационных систем.
5.5. Прекращение обработки персональных данных:
5.5.1. Лица, ответственные за обработку ПДн в Организации, прекращают их обрабатывать в следующих случаях:
–достигнуты цели обработки ПДн;
–истек срок действия согласия на обработку ПДн; – отозвано согласие на обработку ПДн; – обработка ПДн неправомерна.
5.6. Передача персональных данных:
5.6.1.Организация обеспечивает конфиденциальность ПДн.
5.6.2.Организация передает ПДн третьим лицам в случаях:
–субъекта ПДн дал согласие на передачу своих данных;
–передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.
5.6.3. Организация не осуществляет трансграничную передачу ПДн.
5.7. Организация принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также неправомерных действий в отношении ПДн, в том числе:
–издает локальные нормативные акты, регламентирующие обработку ПДн;
–назначает ответственного за организацию обработки ПДн;
–определяет список лиц, допущенных к обработке ПДн;
–знакомит работников, осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе с требованиями к защите ПДн.

6.Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
6.1.В случае предоставления субъектом ПДн, фактов о неполных, устаревших, недостоверных или незаконно полученных ПДн Организация актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта ПДн.
6.2.При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на обработку ПДн, ПДн подлежат уничтожению, если иное не предусмотрено договором, стороной по которому является субъект персональных данных.
6.3.Решение об уничтожении документов (носителей) с ПДн принимает комиссия, состав которой утверждается приказом руководителя Организации.
6.4.Документов (носители), содержащие ПДн, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения ПДн подтверждается актом об уничтожении документов (носителей), подписанным членами комиссии.
6.5.Уничтожение документов (носителей), содержащих персональные данные, производятся путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер.
6.6.ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
6.7.По запросу субъекта ПДн Организация сообщает ему информацию об обработке его ПДн.

7.Обеспечение безопасности персональных данных
7.1.Безопасность ПДн, обрабатываемых Организацией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты ПДн.
7.2.Для предотвращения несанкционированного доступа к персональным данным Организации применяются следующие организационно-технические меры:
-назначение должностных лиц, ответственных за организацию обработки и защиты
ПДн;
-ограничение состава лиц, допущенных к обработке ПДн;
-ознакомление субъектов с требованиями федерального законодательства и нормативных документов Организации по обработке и защите ПДн;
-организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
-определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
-разработка на основе модели угроз системы защиты ПДн;
-проверка готовности и эффективности использования средств защиты информации;
-разграничение доступа пользователей к информационным ресурсам и программноаппаратным средствам обработки информации;
-регистрация и учет действий пользователей информационных систем ПДн;  использование антивирусных средств и средств восстановления системы защиты персональных данных;
-применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
-организация пропускного режима на территорию Организации, охраны помещений с техническими средствами обработки персональных данных.

8.Заключительные положения
8.1.Иные права и обязанности Организации в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
8.2.Работники Организации, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Ссылки
https://disk.yandex.ru/i/frcOfVY3wTKn3g
https://disk.yandex.ru/i/lXYz5oNWbJqMrg
https://disk.yandex.ru/d/eBismN32EmVXIg