ПОЛИТИКА ООО «ИНСТИТУТ ГРУППОАВОГО АНАЛИЗА И ДРУГИХ ПСИХОЛОГИЧЕСКИХ ПРАКТИК» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ - Общие положения
Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО
«Институт группового анализа и других психологических практик» (далее «ИГАиДПП» ) является одной из приоритетных задач организации.
В «ИГАиДПП» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками «ИГАиДПП}, допущенными к обработке персональных данных.
Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами «ИГАиДПП..
Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей и контрагентов, обучающихся «ИГАиДПП» и иных лиц, чьи персональные данные обрабатываются «ИГАиДПП»., с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц «ИГАиДПП», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней
не публикуется детальная информация о принятых мерах по защите персональных данных в «ИГАиДПП», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб «ИГАиДПП» или субъектам персональных данных.
Основные понятия, используемые в политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно к определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Понятие и состав персональных данных
Перечень персональных данных, подлежащих защите в «ИГАиДПП» определятся целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.
Сведениями, составляющими персональные данные, в «ИГАиДПП» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3. Цели обработки персональных данных «ИГАиДПП» осуществляет обработку персональных данных в целях исполнения Трудового договора по трудовому законодательству, а также договорам на дополнительное профессиональное образование и соблюдения законодательства РФ:
организация кадрового учета компании, обеспечение соблюдения законов и иных нормативно-правовых актов; ведение кадрового делопроизводства, исполнение требований налогового законодательства в связи с исчислением и уплатой налогов и сборов при представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении налогов и страховых взносов в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных» и других нормативно-правовых актов;
«ИГАиДПП» осуществляет обработку персональных данных кандидатов на обучение и обучающихся с целью набора на курс обучающихся и исполнения договора на обучение.
4. Правовые основания обработки персональных данных «ИГАиДПП» осуществляет обработку персональных данных на основании:
- Трудового кодекса Российской Федерации;
- Устава «ИГАиДПП»;
- договоров, заключаемые между «ИГАиДПП» и субъектом
персональных данных;
- согласия на обработку персональных данных.
5.. Сроки обработки персональных данныхСроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ
В «ИГАиДПП» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в «ИГАиДПП» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Права и обязанности«ИГАиДПП» как оператор персональных данных в праве:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.
«ИГАиДПП» как оператор персональных данных обязан:
- обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
- внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных
- выполнять требования законодательства Российской Федерации.
Субъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых «ИГАиДПП» и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Субъект персональных данных обязан:
- передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
- в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить «ИГАиДПП» уточненные персональные данные и подтвердить изменения оригиналами документов;
- выполнять требования законодательства Российской Федерации.
7. Порядок и условия обработки персональных данных«ИГАиДПП» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
Под обработкой персональных данных в «ИГАиДПП» понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Персональные данные передаются:
- в,случаях, предусмотренных законодательством Российской Федерации;.
-персональные данные передаются сторонним организациям на основании
- с согласия субъекта персональных данных на передачу своих
персональных данных.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Обработка персональных данных в «ИГАиДПП» производится на основе соблюдения принципов:
- законности целей и способов обработки персональных данных;соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Отказ работника или обучающегося «ИГАиДПП» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.
9. Обеспечение безопасности персональных данных
«ИГАиДПП» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
В «ИГАиДПП» для обеспечения безопасности персональных данных приняты следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;
- назначен администратор безопасности информационной системы персональных данных;
- утверждены документы, определяющие политику «ИГАиДПП» в отношении обработки персональных данных и устанавливающие процедуры направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в Информационной системе персональных данных (ИСПД); перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении, инструкция администратора безопасности ИСПД, инструкция пользователя ИСПД, инструкция ответственного за организацию обработки персональных данных, приказ о назначении группы реагирования на инциденты информационной безопасности;
- устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;
- внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
- для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
- для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
- правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;
- сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.
1
0. Заключительные положенияК настоящей Политике обеспечивается неограниченный доступ.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных «ИГАиДПП» .
Ответственность должностных лиц «ИГАиДПП», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ИГАиДПП»
Генеральный директор «ИГАиДПП» Дмитриева Татьяна .Ввадимировна.