1 ОБЩИЕ ПОЛОЖЕНИЯ
Владелец документа: АО «АРДМ».
Документ, подлежащий отмене: АРДМ-П-4-2024 «Политика в отношении обработки и защиты персональных данных АО «АРДМ» (версия 2.0).
1.1 Область применения
1.1.1 Целями настоящей политики в отношении обработки и защиты ПДн
(далее – Политика) являются:
— определение порядка обработки и защиты ПДн работников АО «АРДМ»
(далее – АРДМ, компания, оператор) и иных субъектов ПДн, ПДн которых подлежат обработке, на основании полномочий АРДМ;
— обеспечение защиты прав и свобод человека и гражданина;
— защита прав на неприкосновенность частной жизни, личную и семейную тайну,
а также установление ответственности должностных лиц, имеющих доступ к ПДн,
за невыполнение требований норм, регулирующих обработку и защиту ПДн, в АРДМ.
Настоящая Политика действует в отношении всех ПДн, которые обрабатывает АРДМ, и раскрывает основные категории ПДн, способы и сроки их обработки и хранения, порядок их уничтожения, права и обязанности АРДМ при обработке ПДн, права субъектов ПДн.
1.1.2 Политика является общедоступным документом, декларирующим концептуальные основы деятельности АРДМ при обработке ПДн, и подлежит опубликованию на официальном сайте АРДМ для обеспечения неограниченного доступа
к документу, определяющему его политику в отношении обработки ПДн, к сведениям
о реализуемых требованиях к защите ПДн, а также на страницах (формах) сайтов АРДМ
в сети «Интернет», с использованием которых осуществляется сбор ПДн.
1.1.3 Субъекты ПДн, чьи данные обрабатываются АРДМ, самостоятельно ознакомляются с настоящей Политикой, размещенной на официальном сайте АРДМ.
1.1.4 Цели обработки, категории субъектов, объем и категории обрабатываемых ПДн отражаются в локальных нормативных актах АРДМ, регулирующих порядок обработки
и защиты ПДн, а также в согласиях субъектов ПДн (оформляемых в случаях, предусмотренных законодательством РФ).
1.1.5 Настоящая Политика вступает в действие с даты ее утверждения уполномоченным лицом и действует до ее отмены.
1.2 Действие настоящей Политики распространяется на всех работников компании, а также работников иных организаций, которые получили доступ к информационным ресурсам компании, содержащим ПДн, в соответствии со своими должностными обязанностями и заключенными договорами.
1.3 Ответственность
1.2.1 Ответственность за разработку и введение Политики несет владелец документа.
1.2.2 Ответственность за регистрацию и обеспечение доступа к Политике
в информационной системе несет работник компании, на которого возложены данные обязанности.
1.2.3 Ответственность за соблюдение требований законодательства РФ, настоящей Политики и иных локальных нормативных актов АРДМ, регулирующих порядок обработки и защиты ПДн, несут должностные лица АРДМ в пределах своих полномочий, определенных локальными нормативными актами АРДМ.
1.2.4 Общий контроль за соблюдением требований законодательства РФ, настоящей Политики и иных локальных нормативных актов АРДМ осуществляет уполномоченное лицо, ответственное за организацию обработки ПДн в АРДМ.
1.2.5 Уполномоченные лица, ответственные за организацию обработки ПДн
и за обеспечение безопасности ПДн, а также их ответственность определяются приказами и локальными нормативными актами.
1.2.6 Руководители структурных подразделений несут ответственность
за соблюдение установленных в АРДМ требований по защите ПДн работников своего подразделения.
1.2.7 Должностные лица АРДМ, допущенные к обработке ПДн, несут персональную ответственность за соблюдение требований законодательства РФ и локальных нормативных актов АРДМ по работе с ПДн лиц, к обработке которых допущено данное должностное лицо.
1.2.8 За нарушение требований законодательства в области ПДн виновные лица могут быть привлечены в порядке, установленном законодательством РФ, к уголовной, административной, гражданской, материальной, дисциплинарной ответственности.
2 НОРМАТИВНЫЕ ССЫЛКИ
Обозначение | Наименование нормативного документа |
Федеральный закон от 27.07.2006 № 152-ФЗ | Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» |
Постановление Правительства РФ от 15.09.2008 № 687 | Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» |
Постановление Правительства РФ от 01.11.2012 № 1119 | Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных |
Приказ Роскомнадзора от 24.02.2021 № 18 | Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» |
Приказ Роскомнадзора от 28.10.2022 № 179 | Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» |
Приказ ФСТЭК России от 18.02.2013 № 21 | Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» |
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Бенефициарный владелец, учредитель/акционер, орган управления контрагента – физические лица, связанные с потенциальными, действующими или бывшими контрагентами и субконтрагентами АРДМ – юридическими лицами.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима
для уточнения персональных данных).
Выгодоприобретатель по договору – физическое лицо, назначенное выгодоприобретателем по соответствующему договору, например, по договору страхования действующего или уволенного работника АРДМ, или физическое лицо
(член семьи, иной родственник, иждивенец, наследник), получающее компенсации, пособия, материальную помощь и иные выплаты в связи со смертью работника АРДМ.
Должностное лицо – работник АРДМ, уполномоченный осуществлять обработку персональных данных субъектов персональных данных и несущий все установленные законодательством виды ответственности за нарушение порядка обработки
и сохранности персональных данных.
Информационная система персональных данных – совокупность содержащихся
в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контрагент – физическое лицо, индивидуальный предприниматель и самозанятый, являющиеся потенциальными, действующими или бывшими клиентами, поставщиками, подрядчиками, агентами, партнерами и др.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации
или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные источники персональных данных – источники персональных данных (в том числе справочники, адресные книги), к которым не ограничен доступ третьих лиц и работников АРДМ. В общедоступные источники персональных данных
с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, номер рабочего и/или личного телефона, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими юридическими
и физическими лицами организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые
с персональными данными.
Персональные данные (ПДн) – любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных
для распространения – персональные данные, доступ неограниченного круга лиц
к которым предоставлен субъектом персональных данных путем дачи согласия
на обработку персональных данных, разрешенных субъектом персональных данных
для распространения в порядке, предусмотренном действующим законодательством РФ.
Посетитель сайта – физическое лицо – пользователь сайтов в сети «Интернет»
и мобильных приложений, функционирующих в интересах АРДМ.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Представитель контрагента – юридических лиц (клиентов, поставщиков, подрядчиков, агентов, партнеров) – физическое лицо, связанное с потенциальным, действующим или бывшим клиентом, поставщиком, подрядчиком, агентом, партнером.
Представитель работника – физическое лицо, представляющее интересы действующего и/или уволенного работника АРДМ в непредвиденных обстоятельствах
или физическое лицо, уполномоченное или ранее имевшее полномочия на представление интересов действующего и/или уволенного работника АРДМ (совершение представителем действий от имени и в интересах действующего и/или уволенного работника АРДМ).
Работник – физическое лицо, заключившее трудовой договор с АРДМ (работодателем, оператором).
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Результат интеллектуальной деятельности – охраняемые результаты интеллектуальной деятельности и средства индивидуализации, которым предоставляется правовая охрана в соответствии с нормами Гражданского кодекса
Российской Федерации.
Родственник работника – супруг (супруга), один из родителей (мать, отец), ребенок
и другие члены семьи действующего и/или уволенного работника АРДМ.
Сайт в сети «Интернет» – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет»
по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Соискатель (кандидат) – физическое лицо, претендующее на замещение вакантной должности в АРДМ (указанное лицо также может получать, принимать/отклонять предложение АРДМ о замещении вакантной должности).
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно
или в составе других систем.
Студент – физическое лицо, проходящее (ранее проходившее) в АРДМ профессиональное обучение в форме стажировки или практики (производственной, учебной, преддипломной или ознакомительной).
Субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает АРДМ.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уволенный работник – физическое лицо, ранее состоявшее в трудовых отношениях с АРДМ.
Угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа
к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных,
а также иные неправомерные действия.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке
в информационных системах.
Физическое лицо, обращающееся в компанию – физическое лицо, обратившееся
в компанию для получения сервисного и/или информационно-справочного обслуживания.
Физическое лицо, чьи персональные данные размещаются на ресурсах компании – физическое лицо, чьи персональные данные на законных основаниях могут быть размещены на страницах сайтов в сети «Интернет» и/или мобильных приложениях, функционирующих в интересах АРДМ.
Cookie – небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер создает (устанавливает), а устройство Посетителя сайта отправляет.
В случае, если действующее законодательство РФ будет содержать иное определение терминов, для регулирования порядка обработки и защиты персональных данных, установленных настоящей Политикой и иными нормативными актами АРДМ, применяется определение, установленное законодательством РФ.
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АРДМ – АО «АРДМ»;
ИСПДн – информационная система персональных данных;
НСД – несанкционированный доступ;
ПДн – персональные данные;
РИД –результаты интеллектуальной деятельности;
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – уполномоченный орган по защите прав субъектов персональных данных;
РФ – Российская Федерация;
ФСБ – Федеральная служба безопасности.
5 ПРИНЦИПЫ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 В АРДМ обработка ПДн осуществляется на основе следующих принципов:
— обработка ПДн осуществляется на законной и справедливой основе;
— обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка ПДн, несовместимая с целями сбора ПДн;
— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только ПДн, которые отвечают целям их обработки;
— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению
к заявленным целям их обработки;
— при обработке ПДн обеспечивается точность ПДн, их достаточность,
а в необходимых случаях актуальность по отношению к целям обработки, принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн;
— хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки, если срок хранения ПДн не установлен федеральным законом, согласием на обработку, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
— обрабатываемые ПДн уничтожаются в случае отзыва согласия на обработку,
по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ;
— обработка ПДн не используется в целях причинения имущественного
и/или морального вреда субъектам ПДн, затруднения реализации их прав и свобод.
6 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Правовым основанием обработки ПДн для АРДМ являются:
— Конституция Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
— Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
— Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
— Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
— Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
— Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
— Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
— Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
— Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
— Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
— Федеральный закон от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке
и мобилизации в Российской Федерации»;
— Федеральный закон от 26.03.1998 № 41-ФЗ «О драгоценных металлах
и драгоценных камнях»;
— Приказ Минздрава России от 18.12.2015 № 933н «О порядке проведения медицинского освидетельствования на состояние опьянения (алкогольного, наркотического или иного токсического)»;
— положение о воинском учете, утвержденное;
— согласие субъекта ПДн на обработку его ПДн;
— устав АРДМ;
— договоры, заключаемые между АРДМ и субъектом ПДн;
— иные нормативные правовые акты, регулирующие отношения, связанные
с деятельностью АРДМ и организацией процесса обработки и защиты ПДн.
7 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным разделом 8 настоящей Политики.
7.2 В АРДМ могут обрабатываться ПДн исключительно в целях, для которых они были собраны или получены.
7.3 Обрабатываемые ПДн не должны быть избыточными по отношению
к заявленным целям их обработки. В случае предоставления избыточных данных самим субъектом ПДн АРДМ имеет право:
— отказать в их принятии;
— уничтожить в присутствии субъекта ПДн.
Для исключения сбора избыточных ПДн могут использоваться типовые формы.
7.4 АРДМ может обрабатывать ПДн следующих категорий субъектов ПДн:
— работники компании;
— родственники работников компании;
— представители работников компании;
— уволенные работники компании;
— соискатели;
— студенты;
— контрагенты;
— представители контрагентов;
— бенефициарный владелец контрагента;
— учредитель/акционер контрагента;
— орган управления контрагента;
— выгодоприобретатели по договорам;
— посетители сайта;
— физические лица, чьи персональные данные размещаются на ресурсах компании;
— физические лица, обращающиеся в компанию.
7.5 АРДМ не осуществляет обработку биометрических ПДн.
7.6 АРДМ осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья субъектов ПДн, в соответствии с законодательством РФ.
8 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка АРДМ ПДн осуществляется в следующих целях:
— ведение кадрового учета;
— обеспечение соблюдения трудового законодательства РФ;
— обеспечение соблюдения требований законодательства РФ в части воинского учета;
— передача информации в Социальный фонд России;
— страхование;
— исполнение социальных программ;
— повышение квалификации, обучение, участие в конкурсах и выставках, получение удостоверений, свидетельств, документов о прохождении обучения и развитие работника;
— продвижение товаров, работ, услуг на рынке;
— подготовка, заключения, исполнения и прекращения договоров с контрагентами;
— оформление электронной подписи;
— обеспечение соблюдения законодательства РФ о противодействии легализации финансированию терроризма;
— осуществление бронирования билетов, проживания, трансферов;
— подбор персонала (соискателей) на вакантные должности оператора;
— обеспечение прохождения ознакомительной, производственной
или преддипломной практики;
— ведение бухгалтерского учета;
— формирование аналитической отчетности;
— обеспечение соблюдения налогового законодательства РФ;
— исполнение судебного акта;
— обеспечение соблюдения законодательства РФ об исполнительном производстве;
— участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
— оформление доверенностей;
— размещение информации на корпоративных порталах, сайтах и справочниках компании;
— оформление и распоряжение правами на РИД, включая подготовку, подачу заявки на выдачу патента на РИД и получение патента на РИД;
— осуществление сервисного и/или информационно-справочного обслуживания.
8.2 Перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок их уничтожения
при достижении целей их обработки или при наступлении иных законных оснований описаны в приложении 1.
8.3 Обработка ПДн строго ограничивается достижением целей обработки ПДн. Обработка ПДн в целях, отличных от указанных в приложении 1 настоящей Политики,
не допускается.