1. Общие положения
1.1. Политика АО «ФлексСофт» в отношении обработки персональных данных (далее Политика) разработана в соответствии с:
· Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
· Постановлением Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных»;
· другими нормативными документами, регулирующими общественные отношения, связанные с обработкой персональных данных.
1.2. Целями Политики являются обеспечение в АО «ФлексСофт» (далее Компания) законности обработки персональных данных, защита прав субъектов персональных данных, включая неприкосновенность частной жизни.
1.3. Политика действует в отношении персональных данных, обрабатываемых в Компании:
· сотрудников;
· кандидатов;
· контрагентов;
· иных субъектов, чьи данные получены на законных основаниях.
1. Основные принципы и условия обработки персональных данных
1.1. Обработка персональных данных в Компании базируется на следующих принципах:
· обработка персональных данных должна осуществляться на принципах законности и справедливости;
· обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
· не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
· при обработке персональных данных должны быть обеспечены актуальность, точность персональных данных и их достаточность;
· хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Цели обработки персональных данных: обеспечение соблюдения законов и иных нормативных правовых актов, содействие работнику в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы и обеспечение сохранности имущества; осуществление прав и законных интересов Общества или третьих лиц.
2.3. Персональные данные физических лиц, полученные Компанией, являются конфиденциальной информацией, если законодательством Российской Федерации не предусмотрено иное.
2.4. Персональные данные, полученные Компанией от субъекта персональных данных напрямую, обрабатываются Компанией с его согласия, за исключением случаев, прямо предусмотренных Законодательством о персональных данных. Компания имеет право обрабатывать персональные данные после отзыва согласия субъекта персональных данных если это предусмотрено законодательством Российской Федерации. В том числе, Компания имеет право обрабатывать персональные данные без согласия или после отзыва согласия субъекта персональных данных для исполнения обязанностей по сохранности определенных видов документов и предоставления отчетности в органы государственной власти и местного самоуправления, установленных трудовым, архивным, гражданским, налоговым и иным законодательством Российской Федерации и для исполнения обязанности по опубликованию или обязательному раскрытию информации в случаях, предусмотренных законодательством Российской Федерации.
2.5. Персональные данные могут быть получены Компанией от третьей стороны только после того, как субъект персональных данных в письменной форме будет уведомлен об этом и от него будет получено письменное согласие.
2.6. При передаче персональных данных третьим лицам Компания обязуется соблюдать следующие требования:
· не сообщать персональные данные третьим лицам, в том числе и в коммерческих целях, без письменного согласия субъекта персональных данных, за исключением случаев, прямо предусмотренных законодательством Российской Федерации;
· предупреждать третьих лиц, получающих персональные данные, об условиях и особом режиме использования персональных данных;
· в случае, если третье лицо, обратившееся с запросом о получении персональных данных, не имеет права на получение этих данных, отказать такому лицу в выдаче информации.
2.7. Компания придерживается принципов минимизации и сроков обработки данных и прекращает обработку персональных данных, когда:
· достигнуты цели их обработки;
· договор, для исполнения которого обрабатывались персональные данные, включая настоящее соглашение или частные соглашения об использовании сервисов, был исполнен или прекращен;
· истек срок действия согласия на обработку персональных данных или оно досрочно отозвано, и при этом отсутствует иное правовое основание обработки.
2. Меры по обеспечению безопасности персональных данных
3.1. В соответствии со ст. 18.1 и 19 ФЗ «О персональных данных», Компания самостоятельно осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Законодательства о персональных данных в Компании и, исходя из такой оценки, принимает решение о перечне мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним.
3.2. Компания принимает следующие общие меры по обеспечению безопасности персональных данных:
· назначение ответственного за организацию обработки персональных данных;
· разработка внутренних документов Компании по защите персональных данных;
· осуществление контроля за соблюдением требований внутренних документов Компании по защите персональных данных.
3.3. Компания принимает следующие специальные меры по обеспечению безопасности персональных данных в картотеках на материальных носителях:
· при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;
· работникам Компани, имеющим доступ к персональным данным в соответствии с их должностными обязанностями, устанавливаются дополнительные обязанности по охране конфиденциальности персональных данных.
3.4. Компания принимает следующие технические меры по обеспечению безопасности персональных данных:
· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
· ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
· регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
· учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
· резервирование технических средств, дублирование массивов и носителей информации:
· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия:
· использования защищенных каналов связи;
· размещения технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
· организации физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
· использование систем защиты от вредоносных программ (программ-вирусов) и программных закладок.
3. Права субъектов персональных данных
В целях обеспечения защиты персональных данных, хранящихся в Компании, субъекты персональных данных имеют право на:
· получение полной информации о своих персональных данных и их обработке;
· требование об блокировке, уничтожении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Законодательства о персональных данных;
· требование на отзыв согласия на обработку (кроме случаев, предусмотренных законом);
· требование об извещении Компанией всех лиц, которым ранее Компания сообщила неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
· обжалование в суде любых неправомерных действий или бездействий Компании при обработке и защите его персональных данных.
4. Ответственность
Работники Компании, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные, и несут персональную ответственность за соблюдение мер, обеспечивающих безопасность персональных данных, и за разглашение персональных данных, обрабатываемых в Компании в соответствии с законодательством Российской Федерации.
5. Заключительные положения
Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте АО «ФлексСофт» www.flexsoft.com.